CVEレポートで検出されていない依存項目の割合 - 8.0

Talendソフトウェア開発ライフサイクル - ベストプラクティスガイド

Version
8.0
Language
日本語 (日本)
Product
Talend Big Data
Talend Data Fabric
Talend Data Integration
Talend Data Management Platform
Talend Data Services Platform
Talend ESB
Talend MDM Platform
Module
Talend Administration Center
Talend Artifact Repository
Talend CommandLine
Talend JobServer
Talend Studio
Content
ジョブデザインと開発
デプロイメント
管理と監視

ビルド中に生成できる修正済みCVE (Common Vulnerabilities and Exposures)のリストが検出できるのは、特定のgroupId、アーティファクト、バージョン(GAV)を持つMavenの公式依存項目のみです。

詳細は、Mavenの公式ドキュメンテーションをご参照ください。

したがって、Mavenの公式依存項目の一部ではない、Talend特定のgroupIdであるorg.talend.librariesが含まれているコンポーネントの依存項目は、生成されたCVEリストではレポートされません。

次の表は、MavenとTalendコンポーネントの合計依存項目とTalendの依存項目の割合をリリースごとにまとめたものです。
バージョン 検出されていないTalendコンポーネントの依存項目の割合
7.3.1 35%
7.3.1最新バージョン 21%
8.0.1 10%
8.0.1 R2022-03 8%

たとえばバージョン7.3.1では、mvn org.talend.ci:builder-maven-plugin:8.0.X:detectCVEコマンドがコンポーネントの全依存項目の35%を検出していないことを意味します。それに対し、バージョン8でのこの割合は8%となっています。