Pourcentage de dépendances non détectées dans les rapports de vulnérabilités
La liste des vulnérabilités corrigées (Common Vulnerabilities and Exposures, CVE), que vous pouvez générer lors de la construction, ne peut détecter que les dépendances Maven officielles ayant des ID de groupe (groupId), des artefacts et des versions (GAV) spécifiques.
Consultez la documentation Maven officielle (uniquement en anglais) (en anglais) pour plus de détails.
Le tableau suivant détaille le pourcentage de dépendances des composants Talend non détectées, par version.
Version | Pourcentage de dépendances des composants Talend non détectées |
---|---|
7.3.1 | 61 % |
7.3.1 latest (Dernière version 7.3.1) | 43 % |
8.0.1 | 39 % |
8.0.1 R2023-03 | 22 % |
8.0.1 R2023-12 | 2 % |
Pour calculer le pourcentage de dépendances des composants Talend non détectées, le nombre total de dépendances uniques des composants Talend (sans doublon) est divisé par le nombre total de GAV uniques (sans doublon).
Par exemple, dans la version R2023-12 : Nombre de bibliothèques org.talend.libraries uniques = 93 Nombre de GAV uniques = 4061 Pourcentage (93÷4061) = 2 %
Cela signifie que, dans la première version 8.0.1, la commande mvn org.talend.ci:builder-maven-plugin:<your_version>:detectCVE ne détecte pas 39 % de toutes les dépendances des composants, pour 2 % en version R2023-12.