Détecter les vulnérabilités (CVE)
Vous pouvez détecter quels artefacts (Jobs Standards, Jobs Big Data, Routes) affectés par les vulnérabilités (Common Vulnerabilities and Exposures, CVE) ont été corrigés depuis la dernière mise à jour du Studio Talend.
Limitations techniques :
- Les vulnérabilités pour les JAR ayant des ID de groupe (groupId) spécifiques à Talend org.talend.libraries ne peuvent être détectées.
- Les vulnérabilités pour les JAR utilisés par le Studio Talend mais par aucun composant ne peuvent être détectées.
- Les vulnérabilités pour les artefacts construits en tant que bundle OSGi (OSGI Bundle) ou Microservice dans le rapport ne sont pas exactes.
Procédure
-
Dans le champ From Version (À partir de la version), sélectionnez la mise à jour du Studio Talend à partir de laquelle vous souhaitez comparer les vulnérabilités et construire le rapport des vulnérabilités.
-
Cliquez sur Generate CVE report (Générer un rapport de vulnérabilité).
L'assistant CVE detect (Détection des vulnérabilités) s'ouvre, indiquant que la détection des vulnérabilités s'est correctement terminée. Un fichier de rapport CSV <timestamp>_<project-name>_CVE_Report.csv est généré dans le répertoire <Talend-Studio>\workspace\report\CVEReport_<timestamp>, où <timestamp> désigne le moment de génération du rapport et <project-name> désigne le nom de votre projet. Cliquez sur Browse... (Parcourir...) pour naviguer jusqu'au répertoire.Le tableau ci-dessous décrit les informations présentées dans le fichier de rapport.
Nom de la colonne Description Statut Peut être : - Upgraded : la vulnérabilité a été corrigée par mise à niveau de la bibliothèque vers une nouvelle version.
- Removed : la vulnérabilité a été corrigée par suppression de la bibliothèque des dépendances de plug-in component/distribution/studio.
Fix Version Version de mise à jour dans laquelle les vulnérabilités ont été corrigées. Exemple : R2022-03
Nom du projet Nom du projet affecté par les vulnérabilités. Exemple : LOCAL_PROJECT
Item type (Type d'élément) Type de l'artefact affecté par les vulnérabilités. Exemple : PROCESS
Item ID Identifiant de l'artefact affecté par les vulnérabilités. Exemple : _GXOmQFizEeiOq-rLS_Z-8g
Item Name Nom de l'artefact affecté par les vulnérabilités. Exemple : MyVeryComplexJob
GAV with CVE Le Groupe, l'Artefact et la Version Maven (GAV) du JAR ayant des vulnérabilités non résolues. Exemple : org.apache.logging.log4j:log4j-core:2.13.2
GAV with CVE mitigated Le Groupe, l'Artefact et la Version Maven (GAV) du JAR ayant des vulnérabilités corrigées. Exemple : org.apache.logging.log4j:log4j-core:2.17.1
UsedByTalendComponent Peut être : - True : le GAV avec vulnérabilités a été corrigé dans les composants listés mais est toujours utilisé par le Studio Talendà d'autres endroits.
- False : le GAV avec vulnérabilités a été complètement supprimé des dépendances des composants dans le Studio Talend.
CVE-ID Identifiant des vulnérabilités. Si indisponible, vous obtenez CVE-NOT_DISCLOSED. Exemple : CVE-2021-44228
CVSS La note CVSS (Common Vulnerability Scoring System, Système d'évaluation de la criticité des vulnérabilités) évalue la sévérité des vulnérabilités de sécurité dans les logiciels. La note peut être comprise entre 0.0 et 10.0, 10.0 représentant une sévérité maximale. Pour plus d'informations concernant CVSS, consultez https://nvd.nist.gov/vuln-metrics/cvss (uniquement en anglais). Component Names Nom du composant affecté par les vulnérabilités. Il peut être un nom technique utilisé pour la génération de code, ou peut être studio s'il affecte le Studio Talend en entier. Comment Commentaires supplémentaires. Vous pouvez également détecter les vulnérabilités corrigées de vos artefacts lors de la construction à l'aide de l'intégration continue. Pour plus d'informations, consultez Détecter les vulnérabilités corrigées (CVE) de vos artefacts lors de la construction.