メイン コンテンツをスキップする 補完的コンテンツへスキップ

脆弱性(CVE)を検出

CVE (Common Vulnerabilities and Exposures)の影響を受けたアーティファクト(標準ジョブ、ビッグデータジョブ、ルート)のうち、最新のTalend Studioアップデートがリリースされてからどのアーティファクトが修正されているかを検出できます。

技術的な制限により:

  • Talend固有のorg.talend.librariesというgroupIdを持つjarのCVEは検出できません。
  • Talend Studioでのみ使われ、どのコンポーネントでも使われないjarのCVEは検出できません。
  • レポートでOSGI BundleまたはMicroserviceとしてビルドされたアーティファクトのCVEは正確ではありません。

手順

  1. メニューバーから[File] (ファイル) > [Edit Project Properties] (プロジェクトプロパティを編集)をクリックして、[Project Settings] (プロジェクト設定)ダイアログボックスを開きます。
  2. [Audit] (監査)をクリックして、該当するビューを開きます。
  3. [From Version] (バージョンから)フィールドで、比較したいTalend Studioアップデートを選択してCVEレポートをビルドします。
    [プロジェクト設定]ダイアログボックス。
  4. [Generate CVE report] (CVEレポートを生成)をクリックします。
    [CVE detect] (CVE検出)ウィザード。
    [CVE detect] (CVE検出)ウィザードが表示され、CVE検出が正しく完了したことが示されます。<Talend-Studio>\workspace\report\CVEReport_<timestamp>ディレクトリーの下に<timestamp>_<project-name>_CVE_Report.csvというCSVレポートファイルが生成されます。<timestamp>はレポートの生成日時を、<project-name>はプロジェクトの名前を示します。[Browse...] (参照)をクリックしてディレクトリーに移動します。

    次の表で、レポートファイルに表示される情報について説明します。

    カラム名 説明
    Status 次のいずれかとなります。
    • [Upgraded] (アップグレード済み): ライブラリーのバージョンアップにより、脆弱性が修正されました。
    • [Removed] (削除済み): コンポーネント、ディストリビューション、Studioプラグインといった依存項目からライブラリーを削除することで脆弱性が修正されました。
    Fix Version CVEが修正された時のアップデートバージョンです。

    例: R2022-03

    Project Name CVE (Common Vulnerabilities and Exposures)の影響を受けたプロジェクトの名前です。

    例: LOCAL_PROJECT

    項目タイプ CVE (Common Vulnerabilities and Exposures)の影響を受けたアーティファクトのタイプです。

    例: PROCESS

    Item ID CVE (Common Vulnerabilities and Exposures)の影響を受けたアーティファクトの識別子です。

    例: _GXOmQFizEeiOq-rLS_Z-8g

    Item Name CVE (Common Vulnerabilities and Exposures)の影響を受けたアーティファクトの表示名です。

    例: MyVeryComplexJob

    GAV with CVE 未解決の脆弱性があるJARファイルのMavenグループ、アーティファクト、バージョン(GAV)です。

    例: org.apache.logging.log4j:log4j-core:2.13.2

    GAV with CVE mitigated 脆弱性が修正されたJARファイルのMavenグループ、アーティファクト、バージョン(GAV)です。

    例: org.apache.logging.log4j:log4j-core:2.17.1

    UsedByTalendComponent 次のいずれかとなります。
    • True: CVE付きのGAVは、リスト表示されたコンポーネントでは修正されましたが、Talend Studioの他の場所ではまだ使われています。
    • False: CVE付きのGAVは、Talend Studioコンポーネントの依存項目から完全に削除されました。
    CVE-ID CVE (Common Vulnerabilities and Exposures)の識別子。利用できない場合はCVE-NOT_DISCLOSEDが取得されます。

    例: CVE-2021-44228

    CVSS ソフトウェアのセキュリティ脆弱性の重大度を評価するためのCVSS (Common Vulnerability Scoring System)スコア。範囲は0.0から10.0までで、10.0が最も深刻です。CVSSの詳細は、https://nvd.nist.gov/vuln-metrics/cvss (英語のみ)をご覧ください。
    Component Names CVE (Common Vulnerabilities and Exposures)の影響を受けたコンポーネントの名前です。この名前は、コード生成に使われるテクニカル名となることも、Talend Studio全体に影響する場合はstudioとなることもあります。
    Comment 追加のコメントです。
    また、CIを使ってビルドしている間にアーティファクトの固定CVEを検出することもできます。詳細は、ビルド中にアーティファクトの修正済み脆弱性 (CVE)を検出をご覧ください。

このページは役に立ちましたか?

このページまたはコンテンツにタイポ、ステップの省略、技術的エラーなどの問題が見つかった場合はお知らせください。