CVEレポートで検出されていない依存項目の割合 - Cloud

クラウド版Talendソフトウェア開発ライフサイクル - ベストプラクティスガイド

Version
Cloud
Language
日本語 (日本)
Product
Talend Cloud
Module
Talend Artifact Repository
Talend Management Console
Talend Studio
Content
ジョブデザインと開発
デプロイメント
管理と監視

ビルド中に生成できる修正済みCVE (Common Vulnerabilities and Exposures)のリストが検出できるのは、特定のgroupId、アーティファクト、バージョン(GAV)を持つMavenの公式依存項目のみです。

詳細は、Mavenの公式ドキュメンテーションをご参照ください。

したがって、Mavenの公式依存項目の一部ではない、Talend特定のgroupIdであるorg.talend.librariesが含まれているコンポーネントの依存項目は、生成されたCVEリストではレポートされません。

次の表は、MavenとTalendコンポーネントの合計依存項目とTalendの依存項目の割合をリリースごとにまとめたものです。
バージョン 検出されていないTalendコンポーネントの依存項目の割合
7.3.1 35%
7.3.1最新バージョン 21%
8.0.1 10%
8.0.1 R2022-03 8%

たとえばバージョン7.3.1では、mvn org.talend.ci:builder-maven-plugin:8.0.X:detectCVEコマンドがコンポーネントの全依存項目の35%を検出していないことを意味します。それに対し、バージョン8でのこの割合は8%となっています。