CVEレポートで検出されていない依存項目の割合 - Cloud - 8.0

Talend Studioユーザーガイド

Version
Cloud
8.0
Language
日本語
Product
Talend Big Data
Talend Big Data Platform
Talend Cloud
Talend Data Fabric
Talend Data Integration
Talend Data Management Platform
Talend Data Services Platform
Talend ESB
Talend MDM Platform
Talend Real-Time Big Data Platform
Module
Talend Studio
Content
ジョブデザインと開発
Last publication date
2024-04-15

ビルド中に生成が可能である修正済みCVE (Common Vulnerabilities and Exposures)のリストが検出できるのは、特定のgroupId、アーティファクト、バージョン(GAV)を持つMavenの公式依存項目のみです。

詳細は、Mavenの公式ドキュメンテーションをご参照ください。

次の表は、未検出であるTalendコンポーネントの依存項目の割合をリリースごとにまとめたものです。

バージョン 検出されていないTalendコンポーネントの依存項目の割合
7.3.1 61%
7.3.1最新バージョン 43%
8.0.1 39%
8.0.1 R2022-03 33%
8.0.1 R2022-07 28%
8.0.1 R2023-03 22%
8.0.1 R2023-12 2%

未検出であるTalendコンポーネントの依存項目のパーセンテージを計算するためには、(重複を除いた)一意のTalendコンポーネント依存項目の総数を(重複を除いた)一意のGAVの総数で割ります。

たとえばR2023-12リリースの場合は: 一意のorg.talend.librariesの数 = 一意のGAVの数である93 = 4061パーセント(93÷4061) = 2%

これはつまり、バージョン8.0.1 R2022-03ではmvn org.talend.ci:builder-maven-plugin:<your_version>:detectCVEコマンドがコンポーネントの全依存項目の33%を検出していないことを意味します。それに対し、バージョンR2023-12でのこの割合は2%となっています。