Zu Hauptinhalt springen Zu ergänzendem Inhalt springen

Erkennen der behobenen Schwachstellen (CVEs) von Artefakten bei der Generierung

Wenn Sie für die Generierung von Artefakten in umfangreichen Projekten auf die kontinuierliche Integration (CI) zurückgreifen, möchten Sie vielleicht ermitteln, auf welche von CVEs (Common Vulnerabilities and Exposures: Standardisierte Schwachstellen und Sicherheitsrisiken) betroffenen Artefakte (Standard-Jobs, Big Data-Jobs, Routen) seit der Veröffentlichung des letzten Updates von Talend Studio ein entsprechender Fix angewendet wurde.

  • Die Option zur Erkennung behobener CVEs und zu deren Aufzeichnung in einer Datei ist ab Version 8.0.3 von org.talend.ci:builder-maven-plugin verfügbar (verfügbar mit R2022-03). Die Erkennung behobener CVEs für Routen-Artefakte wird ab R2022-05 unterstützt.
  • Diese Option soll Benutzern dabei helfen, diejenigen CVEs zu identifizieren, die mithilfe eines Talend Studio-Upgrades behoben werden können. Sie dient keinesfalls als Ersatz für ein Drittanbieter-Tool zur Identifizierung von Schwachstellen in Talend Studio-Jobbibliotheken.

Aufgrund technischer Beschränkungen:

  • Die CVEs für die von Talend Studio, jedoch von keiner Komponenten verwendeten JARs können nicht erfasst werden.
  • Die CVEs für die als OSGI Bundle oder Microservice im Bericht generierte Artefakte sind nicht korrekt.

Generieren von CVE-Berichten

Nachstehend ein Beispiel für einen Befehl zur Generierung einer Liste von Artefakten mit CVEs. Dieser Befehl kann vor oder nach der Generierung der POM-Dateien Ihrer Projektartefakte ausgeführt werden.

# To generate a report file listing all CVEs
mvn org.talend.ci:builder-maven-plugin:8.0.3:detectCVE 
-Dgeneration.type=local
-Dproduct.path=/home/talend/talend_studio
-Dlicense.path=/home/talend/talend_studio/license 
-Dproduct.path=/home/talend/talend_studio/commandline/Talend-Studio-YYYYMMDD_1234-V8.0.X/
<!-- This parameter is only supported and needed for users with Talend Studio 8.0.1 R2024-04 or lower
-Dtalend.studio.p2.base=https://update.talend.com/Studio/8/base -->
-Dtalend.studio.p2.update=https://update.talend.com/Studio/8/updates/R2022-03
-Dworkspace=/home/talend/talend_studio/CI/workspace
-DcveReportFilePath=/home/talend/talend_studio/CI/cvereport.csv
-s /home/talend/talend_studio/maven_user_settings.xml
Dadurch wird ein Bericht namens cvereport.csv im CI-Arbeitsbereich erstellt. Dieser Bericht enthält alle CVEs, die die Artefakte Ihres bestehenden Projekts betreffen und mit dem letzten Update von Talend Studio behoben wurden:

Analysieren von CVE-Berichten

Die folgende Tabelle enthält Details zu den Spalten der generierten CVE-Berichte (Common Vulnerabilities and Exposures: Standardisierte Schwachstellen und Sicherheitsrisiken).
Spaltenname Definition
Status Mögliche Werte:
  • Upgraded (Aktualisiert): Die Schwachstelle wurde durch Aktualisierung der Bibliothek auf eine neue Version behoben.
  • Removed (Entfernt): Die Schwachstelle wurde durch Entfernen der Bibliothek aus der Komponente / der Distribution / den Studio-Plug-In-Abhängigkeiten behoben.
Fix Version (Version mit Fix) Die Update-Version nach dem CVE-Fix.

Beispiel: R2022-03

Project name (Projektname) Name des von CVEs betroffenen Projekts (Common Vulnerabilities and Exposures: Standardisierte Schwachstellen und Sicherheitsrisiken).

Beispiel: CI_PROJECT

Item type (Elementtyp) Name des von CVEs betroffenen Projekts (Common Vulnerabilities and Exposures: Standardisierte Schwachstellen und Sicherheitsrisiken).

Beispiel: PROCESS

Item ID (Element-ID) Kennung des von CVEs betroffenen Projekts (Common Vulnerabilities and Exposures: Standardisierte Schwachstellen und Sicherheitsrisiken).

Beispiel: _GXOmQFizEeiOq-rLS_Z-8g

Item Name (Elementname) Anzeigename des von CVEs betroffenen Projekts (Common Vulnerabilities and Exposures: Standardisierte Schwachstellen und Sicherheitsrisiken).

Beispiel: MyVeryComplexJob

GAV with CVE (GAV mit CVE) Maven-Gruppe, Artefakt, Version (GAV) der JAR-Datei mit nicht behobenen Schwachstellen (CVE).

Beispiel: org.apache.logging.log4j:log4j-core:2.13.2

GAV with CVE mitigated (GAV mit eliminierten CVE) Maven-Gruppe, Artefakt, Version (GAV) der JAR-Datei mit behobenen Schwachstellen (CVE).

Beispiel: org.apache.logging.log4j:log4j-core:2.17.1

UsedByTalendComponent Mögliche Werte:
  • True: GAV mit CVE behoben in den aufgeführten Komponenten, jedoch nach wie vor von Talend Studio an anderen Stellen verwendet.
  • False: GAV mit CVE vollständig aus den Talend Studio-Komponentenabhängigkeiten entfernt.
CVE-ID Kennung der CVEs (Common Vulnerabilities and Exposures: Standardisierte Schwachstellen und Sicherheitsrisiken). Wenn nicht verfügbar, erhalten Sie CVE-NOT_DISCLOSED.

Beispiel: CVE-2021-44228

CVSS Der CVSS-Score (Common Vulnerability Scoring System) für die Bewertung des Schweregrads von Sicherheitslücken in Software. Der Score kann einen Wert zwischen 0,0 und 10,0 annehmen, wobei 10,0 dem höchsten Schweregrad entspricht. Weitere Informationen zu CVSS finden Sie unter „https://nvd.nist.gov/vuln-metrics/cvss“.
Component Names (Komponentennamen) Name der von CVEs betroffenen Komponente (Common Vulnerabilities and Exposures: Standardisierte Schwachstellen und Sicherheitsrisiken). Dabei kann es sich um den für die Codegenerierung verwendeten technischen Namen handeln, oder um den Namen studio, wenn Talend Studio insgesamt betroffen ist.
Comment (Kommentar) Zusätzliche Kommentare.

Angabe der für die Generierung der CVE-Liste zu verwendenden Talend Studio-Update-Version

Bei der Generierung Ihres CVE-Berichts können Sie den Parameter fromVersion verwenden, um auf das Talend Studio-Update zu verweisen, ab dem der Vergleich und die Generierung des CVE-Berichts ausgeführt werden sollen.
InformationshinweisAnmerkung: Da die Option zur Erkennung der behobenen CVEs ab Version R2022-03 verfügbar ist, enthält das R2022-03-Update alle seit der Veröffentlichung von Talend Studio Version 8.0.1 behobenen CVEs.

Nachstehend ein Beispiel für einen Befehl zur Generierung einer Liste der ab Version R2022-05 erkannten behobenen CVEs:

# To generate a report file listing all fixed CVEs detected from R2022-05
mvn org.talend.ci:builder-maven-plugin:8.0.3:detectCVE 
-Dgeneration.type=local
-Dlicense.path=/home/talend/talend_studio/license 
-Dproduct.path=/home/talend/talend_studio/commandline/Talend-Studio-YYYYMMDD_1234-V8.0.3/
<!-- This parameter is only supported and needed for users with Talend Studio 8.0.1 R2024-04 or lower 
-Dtalend.studio.p2.base=https://update.talend.com/Studio/8/base -->
-Dtalend.studio.p2.update=https://update.talend.com/Studio/8/updates/R2022-05
-DfromVersion=R2022-05
-DcveReportFilePath=/home/talend/talend_studio/CI/cvereport.csv
-s /home/talend/talend_studio/maven_user_settings.xml

Hat diese Seite Ihnen geholfen?

Wenn Sie ein Problem mit dieser Seite oder ihrem Inhalt feststellen, sei es ein Tippfehler, ein ausgelassener Schritt oder ein technischer Fehler, informieren Sie uns bitte!