Détecter les vulnérabilités corrigées (CVE) de vos artefacts lors de la construction - Cloud

Talend Software Development Life Cycle pour le Cloud - Guide de bonnes pratiques
Version
Cloud
Language
Français
Product
Talend Cloud
Module
Studio Talend
Talend Artifact Repository
Talend Management Console
Content
Administration et monitoring
Création et développement
Déploiement
Bêta

Lorsque vous utilisez l'intégration continue pour construire des artefacts dans des projets volumineux, vous pouvez détecter quels artefacts (Jobs Standard, Jobs Big Data, Routes) affectés par les vulnérabilités (Common Vulnerabilities and Exposures, CVE) ont été corrigés depuis la dernière mise à jour du Studio Talend.

Remarque : L'option permettant de détecter les vulnérabilités corrigées et de les rapporter dans un fichier est disponible dans org.talend.ci:builder-maven-plugin à partir de la version 8.0.3 (disponible dans la R2022-03). La détection des vulnérabilités corrigées pour les artefacts de Routes est supportée à partir de la version R2022-05.

Limitations techniques :

  • Les vulnérabilités pour les JAR ayant des ID de groupe (groupId) spécifiques à Talend org.talend.libraries ne peuvent être détectées.
  • Les vulnérabilités pour les JAR utilisés par le Studio Talend mais par aucun composant ne peuvent être détectées.
  • Les vulnérabilités pour les artefacts construits en tant que bundle OSGi (OSGI Bundle) ou Microservice dans le rapport ne sont pas exactes.

Construire le rapport de vulnérabilités

Voici un exemple de commande permettant de construire une liste d'artefacts affectés par les vulnérabilités. Cette commande peut être exécutée avant ou après génération des fichiers POM des artefacts de votre projet.

# To generate a report file listing all CVEs
mvn org.talend.ci:builder-maven-plugin:8.0.X:detectCVE 
-Dgeneration.type=local
-Dproduct.path=/home/talend/talend_studio
-Dlicense.path=/home/talend/talend_studio/license 
-Dproduct.path=/home/talend/talend_studio/commandline/Talend-Studio-YYYYMMDD_1234-V8.0.X/
-Dtalend.studio.p2.base=https://update.talend.com/Studio/8/base
-Dtalend.studio.p2.update=https://update.talend.com/Studio/8/updates/R2022-03
-Dworkspace=/home/talend/talend_studio/CI/workspace
-DcveReportFilePath=/home/talend/talend_studio/CI/cvereport.csv
-s /home/talend/talend_studio/maven_user_settings.xml
Cela crée un rapport nommé cvereport.csv dans l'espace de travail d'intégration continue. Ce rapport contient la liste de toutes les vulnérabilités affectant les artefacts de votre projet ayant été corrigées dans la dernière mise à jour du Studio Talend :

Analyser le rapport de vulnérabilités

Le tableau suivant détaille les colonnes du rapport de vulnérabilités (Common Vulnerabilities and Exposures) généré.
Nom de la colonne Définition
Statut Peut être :
  • Upgraded : la vulnérabilité a été corrigée par mise à niveau de la bibliothèque vers une nouvelle version.
  • Removed : la vulnérabilité a été corrigée par suppression de la bibliothèque des dépendances de plug-in component/distribution/studio.
Fix Version Version de mise à jour dans laquelle les vulnérabilités ont été corrigées.

Exemple : R2022-03
Nom du projet Nom du projet affecté par les vulnérabilités.

Exemple : CI_PROJECT
Item type (Type d'élément) Type de l'artefact affecté par les vulnérabilités.

Exemple : PROCESS
Item ID Identifiant de l'artefact affecté par les vulnérabilités.

Exemple : _GXOmQFizEeiOq-rLS_Z-8g
Item Name Nom de l'artefact affecté par les vulnérabilités.

Exemple : MyVeryComplexJob
GAV with CVE Le Groupe, l'Artefact et la Version Maven (GAV) du JAR ayant des vulnérabilités non résolues.

Exemple : org.apache.logging.log4j:log4j-core:2.13.2
GAV with CVE mitigated Le Groupe, l'Artefact et la Version Maven (GAV) du JAR ayant des vulnérabilités corrigées.

Exemple : org.apache.logging.log4j:log4j-core:2.17.1
UsedByTalendComponent Peut être :
  • True : le GAV avec vulnérabilités a été corrigé dans les composants listés mais est toujours utilisé par le Studio Talendà d'autres endroits.
  • False : le GAV avec vulnérabilités a été complètement supprimé des dépendances des composants dans le Studio Talend.
CVE-ID Identifiant des vulnérabilités. Si indisponible, vous obtenez CVE-NOT_DISCLOSED.

Exemple : CVE-2021-44228
CVSS La note CVSS (Common Vulnerability Scoring System, Système d'évaluation de la criticité des vulnérabilités) évalue la sévérité des vulnérabilités de sécurité dans les logiciels. La note peut être comprise entre 0.0 et 10.0, 10.0 représentant une sévérité maximale. Pour plus d'informations concernant CVSS, consultez https://nvd.nist.gov/vuln-metrics/cvss.
Component Names Nom du composant affecté par les vulnérabilités. Il peut être un nom technique utilisé pour la génération de code, ou peut être studio s'il affecte le Studio Talend en entier.
Comment Commentaires supplémentaires.

Indiquer la version de mise à jour du Studio depuis laquelle construire la liste des vulnérabilités

Lorsque vous construisez votre rapport de vulnérabilités, vous pouvez utiliser le paramètre fromVersion pour indiquer les mises à jour du Studio à comparer et construire le rapport de vulnérabilités.
Remarque : Comme l'option vous permettant de détecter les vulnérabilités corrigées est disponible à partir de la version R2022-03, la mise à jour R2022-03 contient toutes les vulnérabilités corrigées depuis la sortie de la version 8.0.1 du Studio Talend.

Voici un exemple de commande pour construire la liste des vulnérabilités corrigées détectées depuis la version R2022-04 : 

# To generate a report file listing all fixed CVEs detected from R2022-04
mvn org.talend.ci:builder-maven-plugin:8.0.3:detectCVE 
-Dgeneration.type=local
-Dproduct.path=/home/talend/talend_studio
-Dlicense.path=/home/talend/talend_studio/license 
-Dproduct.path=/home/talend/talend_studio/commandline/Talend-Studio-YYYYMMDD_1234-V8.0.3/
-Dtalend.studio.p2.base=https://update.talend.com/Studio/8/base
-Dtalend.studio.p2.update=https://update.talend.com/Studio/8/updates/R2022-04
-DfromVersion=R2022-04
-DcveReportFilePath=/home/talend/talend_studio/CI/cvereport.csv
-s /home/talend/talend_studio/maven_user_settings.xml