CVEレポートで検出されていない依存項目の割合
ビルド中に生成が可能である修正済みCVE (Common Vulnerabilities and Exposures)のリストが検出できるのは、特定のgroupId、アーティファクト、バージョン(GAV)を持つMavenの公式依存項目のみです。
詳細は、Mavenの公式ドキュメンテーションをご参照ください。
次の表は、未検出であるTalendコンポーネントの依存項目の割合をリリースごとにまとめたものです。
| バージョン | 検出されていないTalendコンポーネントの依存項目の割合 |
|---|---|
| 7.3.1 | 61% |
| 7.3.1最新バージョン | 43% |
| 8.0.1 | 39% |
| 8.0.1 R2023-03 | 22% |
| 8.0.1 R2023-12 | 2% |
未検出であるTalendコンポーネントの依存項目のパーセンテージを計算するためには、(重複を除いた)一意のTalendコンポーネント依存項目の総数を(重複を除いた)一意のGAVの総数で割ります。
たとえばR2023-12リリースの場合は: 一意のorg.talend.librariesの数 = 一意のGAVの数である93 = 4061パーセント(93÷4061) = 2%
これはつまり、最初の8.0.1バージョンではmvn org.talend.ci:builder-maven-plugin:<your_version>:detectCVEコマンドがコンポーネントの全依存項目の39%を検出していないことを意味します。それに対し、バージョンR2023-12でのこの割合は2%となっています。