Maven中央仓库增加依赖漏洞提醒功能

举报
码农小胖哥 发表于 2022/04/01 00:48:10 2022/04/01
【摘要】 是的,如果以后在PPT中看到“Maven中有一些关键漏洞”时你应该理解为“这些在Maven中央仓库的依赖工件存在漏洞”。 上面是Apache Maven官方针对下图的一个回应: 除了借此...

是的,如果以后在PPT中看到“Maven中有一些关键漏洞”时你应该理解为“这些在Maven中央仓库的依赖工件存在漏洞”。

上面是Apache Maven官方针对下图的一个回应:

Snyk在PPT中Maven和Maven Center混淆不清

除了借此来暗讽Snyk公司(全球知名的应用安全解决方案提供商)的高级工程师不懂MavenMaven Center的区别外,还带来了Maven中央仓库久违的改变。 Maven中央仓库(mvnrepository.com)近期悄悄增加了一个功能,在依赖列表增加了一个Vulnerabilities红色高亮字段,这个字段用来展示当前依赖版本的漏洞信息,以提醒哪些还没有注意到该漏洞信息的开发者,方便评估漏洞并加以规避。

mvnrepository增加了漏洞提示

请注意必须是已被公布的漏洞才会被显示,Maven 中央仓库本身不具备扫描漏洞的能力。

这项举措非常及时,意在引入一个机制来应对像Log4j2漏洞一样的风险。Log4j2漏洞的余波仍未平息。根据Google的统计,目前有超过35,000个 Java 类库受 Log4j 漏洞影响,占Maven中央仓库存储的类库总数的8%,对整个软件行业都造成了广泛的后果。专家们分析了修复影响Maven包的关键公告中报告的缺陷所花费的时间,并确定只有 48%的受漏洞影响的工件已得到修复,整个过程可能需要数年时间。Maven团队的这一举措将帮助那些没有完整安全评估体系的研发团队,加快修复受log4jshell漏洞影响的Java生态。

文章来源: felord.blog.csdn.net,作者:码农小胖哥,版权归原作者所有,如需转载,请联系作者。

原文链接:felord.blog.csdn.net/article/details/122260444

【版权声明】本文为华为云社区用户转载文章,如果您发现本社区中有涉嫌抄袭的内容,欢迎发送邮件进行举报,并提供相关证据,一经查实,本社区将立刻删除涉嫌侵权内容,举报邮箱: cloudbbs@huaweicloud.com
  • 点赞
  • 收藏
  • 关注作者

评论(0

0/1000
抱歉,系统识别当前为高风险访问,暂不支持该操作

全部回复

上滑加载中

设置昵称

在此一键设置昵称,即可参与社区互动!

*长度不超过10个汉字或20个英文字符,设置后3个月内不可修改。

*长度不超过10个汉字或20个英文字符,设置后3个月内不可修改。