是的,如果以後在PPT中看到“Maven中有一些關鍵漏洞”時你應該理解爲“這些在Maven中央倉庫的依賴工件存在漏洞”。
上面是Apache Maven官方針對下圖的一個迴應:
除了藉此來暗諷Snyk公司(全球知名的應用安全解決方案提供商)的高級工程師不懂Maven和Maven Center的區別外,還帶來了Maven中央倉庫久違的改變。 Maven中央倉庫(mvnrepository.com)近期悄悄增加了一個功能,在依賴列表增加了一個Vulnerabilities 紅色高亮字段,這個字段用來展示當前依賴版本的漏洞信息,以提醒哪些還沒有注意到該漏洞信息的開發者,方便評估漏洞並加以規避。
請注意必須是已被公佈的漏洞纔會被顯示,Maven 中央倉庫本身不具備掃描漏洞的能力。
這項舉措非常及時,意在引入一個機制來應對像Log4j2漏洞一樣的風險。Log4j2漏洞的餘波仍未平息。根據Google的統計,目前有超過35,000個 Java 類庫受 Log4j 漏洞影響,佔Maven中央倉庫存儲的類庫總數的8%,對整個軟件行業都造成了廣泛的後果。專家們分析了修復影響Maven包的關鍵公告中報告的缺陷所花費的時間,並確定只有 48%的受漏洞影響的工件已得到修復,整個過程可能需要數年時間。Maven團隊的這一舉措將幫助那些沒有完整安全評估體系的研發團隊,加快修復受log4jshell漏洞影響的Java生態。
關注公衆號:Felordcn獲取更多資訊