共计 634 个字符,预计需要花费 2 分钟才能阅读完成。
是的,如果当前在 PPT 中看到“Maven 中有一些要害破绽”时你应该了解为“这些在 Maven 地方仓库的依赖工件存在破绽”。
下面是 Apache Maven 官网针对下图的一个回应:
除了借此来暗讽 Snyk 公司(寰球出名的利用平安解决方案提供商)的高级工程师不懂 Maven 和Maven Center的区别外,还带来了 Maven 地方仓库久违的扭转。Maven地方仓库 (mvnrepository.com) 近期轻轻减少了一个性能,在依赖列表减少了一个 Vulnerabilities 红色高亮字段,这个字段用来展现以后依赖版本的破绽信息,以揭示哪些还没有留神到该破绽信息的开发者,不便评估破绽并加以躲避。
请留神必须是已被颁布的破绽才会被显示,Maven 地方仓库自身不具备扫描破绽的能力。
这项动作十分及时,意在引入一个机制来应答像 Log4j2 破绽一样的危险。Log4j2破绽的余波仍未平息。依据 Google 的统计,目前有超过 35,000 个 Java 类库受 Log4j 破绽影响,占 Maven 地方仓库存储的类库总数的 8%,对整个软件行业都造成了宽泛的结果。专家们剖析了修复影响Maven 包的要害布告中报告的缺点所破费的工夫,并确定只有 48%的受破绽影响的工件已失去修复,整个过程可能须要数年工夫。Maven团队的这一动作将帮忙那些没有残缺平安评估体系的研发团队,放慢修复受 log4jshell 破绽影响的 Java 生态。
关注公众号:Felordcn 获取更多资讯
集体博客:https://felord.cn