Talend Cloudへのアーティファクト公開時のアーカイブセキュリティ制限
Talend Cloudでは、アーカイブがTalend StudioからTalend Cloudに公開される際、セキュリティルールに基づいてアーティファクトアーカイブを検証します。
Talend Cloudは、アーカイブの公開時にZIP Slip、ZIP Symlink、またはサービス拒否攻撃などのZIP攻撃に対する組み込み保護機能を実装しています。これらのセキュリティルールはQlikによって適用され、ユーザー側で設定を変更することはできません。
アーカイブがセキュリティルールに違反している場合、Talend Cloudはそのアーカイブを拒否します。その結果、Talend Studioまたは継続的インテグレーション/継続的デリバリー(CI/CD)パイプラインで不正なリクエストのエラーが返されます。
無効なアーカイブエントリ名
Talend Cloudは、エントリ名が次のいずれかに該当する場合、アーカイブを拒否します。
- ..(パストラバーサルシーケンス)を含む
- バックスラッシュ(\)を含む
- /または\で始まる(絶対パス)
以下は、無効なエントリ名の例です。
../app.jar
a/../../b.txt
/root/secret.txt
\\temp\\a.txt
folder\\file.txt
C:\\temp\\a.txt
..\\evil.sh
/../etc/passwd
a/b/../c.txt
a/b/ddd..jarアーカイブのサイズと構造の制限
アーティファクトのアーカイブには、次の制限が適用されます。
| 保護制限 | 値 |
|---|---|
| アーティファクトIDの最大長(ファイル拡張子を除くベース名)。 | 200文字 |
| アーカイブ内のフォルダーの最大ネスト深度。 | 64レベル |
| アーカイブ内の個々のファイルまたはフォルダー名の最大長。 | 240文字 |
| アーカイブ内のファイルとフォルダーの最大合計数。 | 4096 |
| アーカイブ内の単一ファイルの最大非圧縮サイズ。 | 600 MB |
| アーカイブ内のすべてのファイルの最大非圧縮合計サイズ。 | 5 GB |
| アーカイブ内のすべてのファイルの最大圧縮サイズ | 1GB |
情報メモ注: アーティファクトのアーカイブが実行サーバーにデプロイされる際、追加のサイズおよび構造制限が適用されます。公開時の制限とは異なり、これらのサーバーレベルの制限は設定が可能です。
- Dynamic Engine: Dynamic Engine環境でジョブサイズ制限を設定。
- Talend Remote Engine: 悪意のあるアーカイブコンテンツに対するセキュリティを改善。