Lorsque vous utilisez l'intégration continue pour construire des artefacts dans des projets volumineux, vous pouvez détecter quels artefacts (Jobs Standard, Jobs Big Data, Routes) affectés par les vulnérabilités (Common Vulnerabilities and Exposures, CVE) ont été corrigés depuis la dernière mise à jour du Studio Talend.
Limitations techniques :
- Les vulnérabilités pour les JAR ayant des ID de groupe (groupId) spécifiques à Talend
org.talend.libraries
ne peuvent être détectées. - Les vulnérabilités pour les JAR utilisés par le Studio Talend mais par aucun composant ne peuvent être détectées.
- Les vulnérabilités pour les artefacts construits en tant que bundle OSGi (OSGI Bundle) ou Microservice dans le rapport ne sont pas exactes.
Construire le rapport de vulnérabilités
Voici un exemple de commande permettant de construire une liste d'artefacts affectés par les vulnérabilités. Cette commande peut être exécutée avant ou après génération des fichiers POM des artefacts de votre projet.
# To generate a report file listing all CVEs
mvn org.talend.ci:builder-maven-plugin:8.0.X:detectCVE
-Dgeneration.type=local
-Dproduct.path=/home/talend/talend_studio
-Dlicense.path=/home/talend/talend_studio/license
-Dproduct.path=/home/talend/talend_studio/commandline/Talend-Studio-YYYYMMDD_1234-V8.0.X/
-Dtalend.studio.p2.base=https://update.talend.com/Studio/8/base
-Dtalend.studio.p2.update=https://update.talend.com/Studio/8/updates/R2022-03
-Dworkspace=/home/talend/talend_studio/CI/workspace
-DcveReportFilePath=/home/talend/talend_studio/CI/cvereport.csv
-s /home/talend/talend_studio/maven_user_settings.xml
Analyser le rapport de vulnérabilités
Nom de la colonne | Définition |
---|---|
Statut | Peut être :
|
Fix Version | Version de mise à jour dans laquelle les vulnérabilités ont été corrigées. Exemple : |
Nom du projet | Nom du projet affecté par les vulnérabilités. Exemple : |
Item type (Type d'élément) | Type de l'artefact affecté par les vulnérabilités. Exemple : |
Item ID | Identifiant de l'artefact affecté par les vulnérabilités. Exemple : |
Item Name | Nom de l'artefact affecté par les vulnérabilités. Exemple : |
GAV with CVE | Le Groupe, l'Artefact et la Version Maven (GAV) du JAR ayant des vulnérabilités non résolues. Exemple : |
GAV with CVE mitigated | Le Groupe, l'Artefact et la Version Maven (GAV) du JAR ayant des vulnérabilités corrigées. Exemple : |
UsedByTalendComponent | Peut être :
|
CVE-ID | Identifiant des vulnérabilités. Si indisponible, vous obtenez CVE-NOT_DISCLOSED .Exemple : |
CVSS | La note CVSS (Common Vulnerability Scoring System, Système d'évaluation de la criticité des vulnérabilités) évalue la sévérité des vulnérabilités de sécurité dans les logiciels. La note peut être comprise entre 0.0 et 10.0 , 10.0 représentant une sévérité maximale. Pour plus d'informations concernant CVSS, consultez https://nvd.nist.gov/vuln-metrics/cvss. |
Component Names | Nom du composant affecté par les vulnérabilités. Il peut être un nom technique utilisé pour la génération de code, ou peut être studio s'il affecte le Studio Talend en entier. |
Comment | Commentaires supplémentaires. |
Indiquer la version de mise à jour du Studio depuis laquelle construire la liste des vulnérabilités
Voici un exemple de commande pour construire la liste des vulnérabilités corrigées détectées depuis la version R2022-04 :
# To generate a report file listing all fixed CVEs detected from R2022-04
mvn org.talend.ci:builder-maven-plugin:8.0.3:detectCVE
-Dgeneration.type=local
-Dproduct.path=/home/talend/talend_studio
-Dlicense.path=/home/talend/talend_studio/license
-Dproduct.path=/home/talend/talend_studio/commandline/Talend-Studio-YYYYMMDD_1234-V8.0.3/
-Dtalend.studio.p2.base=https://update.talend.com/Studio/8/base
-Dtalend.studio.p2.update=https://update.talend.com/Studio/8/updates/R2022-04
-DfromVersion=R2022-04
-DcveReportFilePath=/home/talend/talend_studio/CI/cvereport.csv
-s /home/talend/talend_studio/maven_user_settings.xml