ビルド中に生成が可能である修正済みCVE (Common Vulnerabilities and Exposures)のリストが検出できるのは、特定のgroupId、アーティファクト、バージョン(GAV)を持つMavenの公式依存項目のみです。
詳細は、Mavenの公式ドキュメンテーションをご参照ください。
したがって、Mavenの公式依存項目の一部ではない、Talend特定のgroupIdであるorg.talend.librariesが含まれているコンポーネントの依存項目は、生成されたCVEリストではレポートされません。
次の表は、MavenとTalendコンポーネントの合計依存項目とTalendの依存項目の割合をリリースごとにまとめたものです。
| バージョン | 検出されていないTalendコンポーネントの依存項目の割合 |
|---|---|
| 7.3.1 | 35% |
| 7.3.1最新バージョン | 21% |
| 8.0.1 | 10% |
| 8.0.1 R2022-03 | 8% |
| 8.0.1 R2022-07 | 8% |
| 8.0.1 R2023-03 | 6% |
たとえばバージョン7.3.1では、mvn org.talend.ci:builder-maven-plugin:<your_version>:detectCVEコマンドがコンポーネントの全依存項目の35%を検出していないことを意味します。それに対し、バージョンR2023-03でのこの割合は6%となっています。