ビルド中に生成が可能である修正済みCVE (Common Vulnerabilities and Exposures)のリストが検出できるのは、特定のgroupId、アーティファクト、バージョン(GAV)を持つMavenの公式依存項目のみです。
詳細は、Mavenの公式ドキュメンテーションをご参照ください。
次の表は、未検出であるTalendコンポーネントの依存項目の割合をリリースごとにまとめたものです。
| バージョン | 検出されていないTalendコンポーネントの依存項目の割合 |
|---|---|
| 7.3.1 | 61% |
| 7.3.1最新バージョン | 43% |
| 8.0.1 | 39% |
| 8.0.1 R2022-03 | 33% |
| 8.0.1 R2022-07 | 28% |
| 8.0.1 R2023-03 | 22% |
| 8.0.1 R2023-12 | 2% |
未検出であるTalendコンポーネントの依存項目のパーセンテージを計算するためには、(重複を除いた)一意のTalendコンポーネント依存項目の総数を(重複を除いた)一意のGAVの総数で割ります。
たとえばR2023-12リリースの場合は: 一意のorg.talend.librariesの数 = 一意のGAVの数である93 = 4061パーセント(93÷4061) = 2%
これはつまり、バージョン8.0.1 R2022-03ではmvn org.talend.ci:builder-maven-plugin:<your_version>:detectCVEコマンドがコンポーネントの全依存項目の33%を検出していないことを意味します。それに対し、バージョンR2023-12でのこの割合は2%となっています。