Accéder au contenu principal Passer au contenu complémentaire

Détecter les vulnérabilités (CVE)

Vous pouvez détecter quels artefacts (Jobs Standards, Jobs Big Data, Routes) affectés par les vulnérabilités (Common Vulnerabilities and Exposures, CVE) ont été corrigés depuis la dernière mise à jour du Studio Talend.

Limitations techniques :

  • Les vulnérabilités pour les JAR ayant des ID de groupe (groupId) spécifiques à Talend org.talend.libraries ne peuvent être détectées.
  • Les vulnérabilités pour les JAR utilisés par le Studio Talend mais par aucun composant ne peuvent être détectées.
  • Les vulnérabilités pour les artefacts construits en tant que bundle OSGi (OSGI Bundle) ou Microservice dans le rapport ne sont pas exactes.

Procédure

  1. Cliquez sur File > Edit Project properties dans le menu pour ouvrir la boîte de dialogue Project Settings.
  2. Cliquez sur Audit pour ouvrir la vue correspondante.
  3. Dans le champ From Version (À partir de la version), sélectionnez la mise à jour du Studio Talend à partir de laquelle vous souhaitez comparer les vulnérabilités et construire le rapport des vulnérabilités.
    Boîte de dialogue Project Settings (Paramètres du projet).
  4. Cliquez sur Generate CVE report (Générer un rapport de vulnérabilité).
    Assistant CVE detect (Détection des vulnérabilités).
    L'assistant CVE detect (Détection des vulnérabilités) s'ouvre, indiquant que la détection des vulnérabilités s'est correctement terminée. Un fichier de rapport CSV <timestamp>_<project-name>_CVE_Report.csv est généré dans le répertoire <Talend-Studio>\workspace\report\CVEReport_<timestamp>, où <timestamp> désigne le moment de génération du rapport et <project-name> désigne le nom de votre projet. Cliquez sur Browse... (Parcourir...) pour naviguer jusqu'au répertoire.

    Le tableau ci-dessous décrit les informations présentées dans le fichier de rapport.

    Nom de la colonne Description
    Statut Peut être :
    • Upgraded : la vulnérabilité a été corrigée par mise à niveau de la bibliothèque vers une nouvelle version.
    • Removed : la vulnérabilité a été corrigée par suppression de la bibliothèque des dépendances de plug-in component/distribution/studio.
    Fix Version Version de mise à jour dans laquelle les vulnérabilités ont été corrigées.

    Exemple : R2022-03

    Nom du projet Nom du projet affecté par les vulnérabilités.

    Exemple : LOCAL_PROJECT

    Item type (Type d'élément) Type de l'artefact affecté par les vulnérabilités.

    Exemple : PROCESS

    Item ID Identifiant de l'artefact affecté par les vulnérabilités.

    Exemple : _GXOmQFizEeiOq-rLS_Z-8g

    Item Name Nom de l'artefact affecté par les vulnérabilités.

    Exemple : MyVeryComplexJob

    GAV with CVE Le Groupe, l'Artefact et la Version Maven (GAV) du JAR ayant des vulnérabilités non résolues.

    Exemple : org.apache.logging.log4j:log4j-core:2.13.2

    GAV with CVE mitigated Le Groupe, l'Artefact et la Version Maven (GAV) du JAR ayant des vulnérabilités corrigées.

    Exemple : org.apache.logging.log4j:log4j-core:2.17.1

    UsedByTalendComponent Peut être :
    • True : le GAV avec vulnérabilités a été corrigé dans les composants listés mais est toujours utilisé par le Studio Talendà d'autres endroits.
    • False : le GAV avec vulnérabilités a été complètement supprimé des dépendances des composants dans le Studio Talend.
    CVE-ID Identifiant des vulnérabilités. Si indisponible, vous obtenez CVE-NOT_DISCLOSED.

    Exemple : CVE-2021-44228

    CVSS La note CVSS (Common Vulnerability Scoring System, Système d'évaluation de la criticité des vulnérabilités) évalue la sévérité des vulnérabilités de sécurité dans les logiciels. La note peut être comprise entre 0.0 et 10.0, 10.0 représentant une sévérité maximale. Pour plus d'informations concernant CVSS, consultez https://nvd.nist.gov/vuln-metrics/cvss (uniquement en anglais).
    Component Names Nom du composant affecté par les vulnérabilités. Il peut être un nom technique utilisé pour la génération de code, ou peut être studio s'il affecte le Studio Talend en entier.
    Comment Commentaires supplémentaires.
    Vous pouvez également détecter les vulnérabilités corrigées de vos artefacts lors de la construction à l'aide de l'intégration continue. Pour plus d'informations, consultez Détecter les vulnérabilités corrigées (CVE) de vos artefacts lors de la construction.

Cette page vous a-t-elle aidé ?

Si vous rencontrez des problèmes sur cette page ou dans son contenu – une faute de frappe, une étape manquante ou une erreur technique – faites-le-nous savoir.