脆弱性(CVE)を検出 - Cloud - 8.0

Talend Studioユーザーガイド

Version
Cloud
8.0
Language
日本語
Product
Talend Big Data
Talend Big Data Platform
Talend Cloud
Talend Data Fabric
Talend Data Integration
Talend Data Management Platform
Talend Data Services Platform
Talend ESB
Talend MDM Platform
Talend Real-Time Big Data Platform
Module
Talend Studio
Content
ジョブデザインと開発
Last publication date
2024-02-22

CVE (Common Vulnerabilities and Exposures)の影響を受けたアーティファクト(標準ジョブ、ビッグデータジョブ、ルート)のうち、最新のTalend Studioアップデートがリリースされてからどのアーティファクトが修正されているかを検出できます。

注: この機能は、Talendが提供するR2023-11以降のTalend Studioマンスリーアップデートをインストール済みである場合のみ利用できます。詳細は管理者にお問い合わせください。

技術的な制限により:

  • Talend固有のorg.talend.librariesというgroupIdを持つjarのCVEは検出できません。
  • Talend Studioでのみ使われ、どのコンポーネントでも使われないjarのCVEは検出できません。
  • レポートでOSGI BundleまたはMicroserviceとしてビルドされたアーティファクトのCVEは正確ではありません。

手順

  1. メニューバーから[File] (ファイル) > [Edit Project Properties] (プロジェクトプロパティを編集)をクリックして、[Project Settings] (プロジェクト設定)ダイアログボックスを開きます。
  2. [Audit] (監査)をクリックして、該当するビューを開きます。
  3. [From Version] (バージョンから)フィールドで、比較したいTalend Studioアップデートを選択してCVEレポートをビルドします。
    [プロジェクト設定]ダイアログボックス。
  4. [Generate CVE report] (CVEレポートを生成)をクリックします。
    [CVE検出]ウィザード。
    [CVE detect] (CVE検出)ウィザードが表示され、CVE検出が正しく完了したことが示されます。<Talend-Studio>\workspace\report\CVEReport_<timestamp>ディレクトリーの下に<timestamp>_<project-name>_CVE_Report.csvというCSVレポートファイルが生成されます。<timestamp>はレポートの生成日時を、<project-name>はプロジェクトの名前を示します。[Browse...] (参照)をクリックしてディレクトリーに移動します。

    次の表で、レポートファイルに表示される情報について説明します。

    カラム名 説明
    Status 次のいずれかとなります。
    • [Upgraded] (アップグレード済み): ライブラリーのバージョンアップにより、脆弱性が修正されました。
    • [Removed] (削除済み): コンポーネント、ディストリビューション、Studioプラグインといった依存項目からライブラリーを削除することで脆弱性が修正されました。
    Fix Version CVEが修正された時のアップデートバージョンです。

    例: R2022-03

    Project Name CVE (Common Vulnerabilities and Exposures)の影響を受けたプロジェクトの名前です。

    例: LOCAL_PROJECT

    項目タイプ CVE (Common Vulnerabilities and Exposures)の影響を受けたアーティファクトのタイプです。

    例: PROCESS

    Item ID CVE (Common Vulnerabilities and Exposures)の影響を受けたアーティファクトの識別子です。

    例: _GXOmQFizEeiOq-rLS_Z-8g

    Item Name CVE (Common Vulnerabilities and Exposures)の影響を受けたアーティファクトの表示名です。

    例: MyVeryComplexJob

    GAV with CVE 未解決の脆弱性があるJARファイルのMavenグループ、アーティファクト、バージョン(GAV)です。

    例: org.apache.logging.log4j:log4j-core:2.13.2

    GAV with CVE mitigated 脆弱性が修正されたJARファイルのMavenグループ、アーティファクト、バージョン(GAV)です。

    例: org.apache.logging.log4j:log4j-core:2.17.1

    UsedByTalendComponent 次のいずれかとなります。
    • True: CVE付きのGAVは、リスト表示されたコンポーネントでは修正されましたが、Talend Studioの他の場所ではまだ使われています。
    • False: CVE付きのGAVは、Talend Studioコンポーネントの依存項目から完全に削除されました。
    CVE-ID CVE (Common Vulnerabilities and Exposures)の識別子。利用できない場合はCVE-NOT_DISCLOSEDが取得されます。

    例: CVE-2021-44228

    CVSS ソフトウェアのセキュリティ脆弱性の重大度を評価するためのCVSS (Common Vulnerability Scoring System)スコア。範囲は0.0から10.0までで、10.0が最も深刻です。CVSSの詳細は、https://nvd.nist.gov/vuln-metrics/cvssをご覧ください。
    Component Names CVE (Common Vulnerabilities and Exposures)の影響を受けたコンポーネントの名前です。この名前は、コード生成に使われるテクニカル名となることも、Talend Studio全体に影響する場合はstudioとなることもあります。
    Comment 追加のコメントです。
    また、CIを使ってビルドしている間にアーティファクトの固定CVEを検出することもできます。詳細は、ビルド中にアーティファクトの修正済み脆弱性 (CVE)を検出をご覧ください。