是的,如果当前在PPT中看到“Maven中有一些要害破绽”时你应该了解为“这些在Maven地方仓库的依赖工件存在破绽”。
下面是Apache Maven官网针对下图的一个回应:
除了借此来暗讽Snyk公司(寰球出名的利用平安解决方案提供商)的高级工程师不懂Maven和Maven Center的区别外,还带来了Maven地方仓库久违的扭转。 Maven地方仓库(mvnrepository.com)近期轻轻减少了一个性能,在依赖列表减少了一个Vulnerabilities 红色高亮字段,这个字段用来展现以后依赖版本的破绽信息,以揭示哪些还没有留神到该破绽信息的开发者,不便评估破绽并加以躲避。
请留神必须是已被颁布的破绽才会被显示,Maven 地方仓库自身不具备扫描破绽的能力。
这项动作十分及时,意在引入一个机制来应答像Log4j2破绽一样的危险。Log4j2破绽的余波仍未平息。依据Google的统计,目前有超过35,000个 Java 类库受 Log4j 破绽影响,占Maven地方仓库存储的类库总数的8%,对整个软件行业都造成了宽泛的结果。专家们剖析了修复影响Maven包的要害布告中报告的缺点所破费的工夫,并确定只有 48%的受破绽影响的工件已失去修复,整个过程可能须要数年工夫。Maven团队的这一动作将帮忙那些没有残缺平安评估体系的研发团队,放慢修复受log4jshell破绽影响的Java生态。
关注公众号:Felordcn 获取更多资讯
集体博客:https://felord.cn