ΠΠ½Π°ΡΠ΅Π½ΠΈΠ΅ΡΠΎ Π½Π° Π°Π½Π°Π»ΠΈΠ·Π° Π½Π° ΡΠΎΡΡΡΠ΅ΡΠ½ΠΈΡΠ΅ ΠΊΠΎΠΌΠΏΠΎΠ½Π΅Π½ΡΠΈ Π½Π° ΡΡΠ΅ΡΠΈ ΡΡΡΠ°Π½ΠΈ (Π°Π½Π³Π». Software Composition Analysis - SCA) Π² ΠΏΡΠΎΡΠ΅ΡΠ° Π½Π° ΡΠ°Π·ΡΠ°Π±ΠΎΡΠΊΠ° Π½Π°ΡΠ°ΡΡΠ²Π° Ρ ΠΏΡΠ±Π»ΠΈΠΊΡΠ²Π°Π½Π΅ΡΠΎ Π½Π° Π³ΠΎΠ΄ΠΈΡΠ½ΠΈ Π΄ΠΎΠΊΠ»Π°Π΄ΠΈ Π·Π° ΡΡΠ·Π²ΠΈΠΌΠΎΡΡΠΈΡΠ΅ Π½Π° Π±ΠΈΠ±Π»ΠΈΠΎΡΠ΅ΠΊΠΈ Ρ ΠΎΡΠ²ΠΎΡΠ΅Π½ ΠΊΠΎΠ΄, ΠΊΠΎΠΈΡΠΎ ΡΠ΅ ΠΏΡΠ±Π»ΠΈΠΊΡΠ²Π°Ρ ΠΎΡ Synopsys, Sonatype, Snyk, White Source. Π‘ΠΏΠΎΡΠ΅Π΄ Π΄ΠΎΠΊΠ»Π°Π΄Π°
ΠΠ΄ΠΈΠ½ ΠΎΡ Π½Π°ΠΉ-ΠΏΠΎΠΊΠ°Π·Π°ΡΠ΅Π»Π½ΠΈΡΠ΅ ΡΠ»ΡΡΠ°ΠΈ
Π’Π°Π·ΠΈ ΡΡΠ°ΡΠΈΡ ΡΠ΅ ΠΎΠ±ΡΡΠ΄ΠΈ Π²ΡΠΏΡΠΎΡΠ° Π·Π° ΠΈΠ·Π±ΠΎΡΠ° Π½Π° ΠΈΠ½ΡΡΡΡΠΌΠ΅Π½Ρ Π·Π° ΠΏΡΠΎΠ²Π΅ΠΆΠ΄Π°Π½Π΅ Π½Π° SCA ΠΏΠΎ ΠΎΡΠ½ΠΎΡΠ΅Π½ΠΈΠ΅ Π½Π° ΠΊΠ°ΡΠ΅ΡΡΠ²ΠΎΡΠΎ Π½Π° ΡΠ΅Π·ΡΠ»ΡΠ°ΡΠΈΡΠ΅ ΠΎΡ Π°Π½Π°Π»ΠΈΠ·Π°. Π©Π΅ Π±ΡΠ΄Π΅ Π½Π°ΠΏΡΠ°Π²Π΅Π½ΠΎ ΠΈ ΡΡΠ½ΠΊΡΠΈΠΎΠ½Π°Π»Π½ΠΎ ΡΡΠ°Π²Π½Π΅Π½ΠΈΠ΅ Π½Π° ΠΈΠ½ΡΡΡΡΠΌΠ΅Π½ΡΠΈΡΠ΅. Π©Π΅ ΠΎΡΡΠ°Π²ΠΈΠΌ ΠΏΡΠΎΡΠ΅ΡΠ° Π½Π° Π²Π³ΡΠ°ΠΆΠ΄Π°Π½Π΅ Π² CI / CD ΠΈ Π²ΡΠ·ΠΌΠΎΠΆΠ½ΠΎΡΡΠΈΡΠ΅ Π·Π° ΠΈΠ½ΡΠ΅Π³ΡΠ°ΡΠΈΡ Π·Π° ΠΏΠΎΡΠ»Π΅Π΄Π²Π°ΡΠΈ ΠΏΡΠ±Π»ΠΈΠΊΠ°ΡΠΈΠΈ. Π¨ΠΈΡΠΎΠΊΠ° Π³Π°ΠΌΠ° ΠΎΡ ΠΈΠ½ΡΡΡΡΠΌΠ΅Π½ΡΠΈ Π΅ Π²ΡΠ²Π΅Π΄Π΅Π½Π° ΠΎΡ OWASP
ΠΡΠΈΠ½ΡΠΈΠΏ Π½Π° Π΄Π΅ΠΉΡΡΠ²ΠΈΠ΅
ΠΠΎΠΌΠΈΡΠ»Π΅ΡΠ΅ ΠΊΠ°ΠΊ ΠΈΠ·Π³Π»Π΅ΠΆΠ΄Π° CPE:
cpe:2.3:part:vendor:product:version:update:edition:language:sw_edition:target_sw:target_hw:other
- ΡΠ°ΡΡ: ΠΠ½Π΄ΠΈΠΊΠ°ΡΠΈΡ, ΡΠ΅ ΠΊΠΎΠΌΠΏΠΎΠ½Π΅Π½ΡΡΡ ΠΏΡΠΈΠ½Π°Π΄Π»Π΅ΠΆΠΈ ΠΊΡΠΌ ΠΏΡΠΈΠ»ΠΎΠΆΠ΅Π½ΠΈΠ΅ΡΠΎ (a), ΠΎΠΏΠ΅ΡΠ°ΡΠΈΠΎΠ½Π½Π°ΡΠ° ΡΠΈΡΡΠ΅ΠΌΠ° (o), Ρ Π°ΡΠ΄ΡΠ΅ΡΠ° (h) (ΠΠ°Π΄ΡΠ»ΠΆΠΈΡΠ΅Π»Π΅Π½ Π΅Π»Π΅ΠΌΠ΅Π½Ρ)
- Π’ΡΡΠ³ΠΎΠ²Π΅Ρ: ΠΠΌΠ΅ Π½Π° ΠΏΡΠΎΠΈΠ·Π²ΠΎΠ΄ΠΈΡΠ΅Π»Ρ Π½Π° ΠΏΡΠΎΠ΄ΡΠΊΡΠ° (Π·Π°Π΄ΡΠ»ΠΆΠΈΡΠ΅Π»Π΅Π½ Π΅Π»Π΅ΠΌΠ΅Π½Ρ)
- ΠΏΡΠΎΠ΄ΡΠΊΡ: ΠΠΌΠ΅ Π½Π° ΠΏΡΠΎΠ΄ΡΠΊΡΠ° (Π·Π°Π΄ΡΠ»ΠΆΠΈΡΠ΅Π»Π½ΠΎ)
- ΠΠ΅ΡΡΠΈΡ: ΠΠ΅ΡΡΠΈΡ Π½Π° ΠΊΠΎΠΌΠΏΠΎΠ½Π΅Π½Ρ (ΠΎΡΡ Π²ΡΡΠ»Π΅Π½ Π΅Π»Π΅ΠΌΠ΅Π½Ρ)
- Update: ΠΠΊΡΡΠ°Π»ΠΈΠ·Π°ΡΠΈΡ Π½Π° ΠΏΠ°ΠΊΠ΅ΡΠ°
- Edition: ΠΠ°ΡΠ»Π΅Π΄Π΅Π½Π° Π²Π΅ΡΡΠΈΡ (ΠΎΡΡ Π²ΡΡΠ»Π΅Π½ Π΅Π»Π΅ΠΌΠ΅Π½Ρ)
- ΠΠ·ΠΈΠΊ: ΠΠ·ΠΈΠΊ, Π΄Π΅ΡΠΈΠ½ΠΈΡΠ°Π½ Π² RFC-5646
- SW ΠΈΠ·Π΄Π°Π½ΠΈΠ΅: Π‘ΠΎΡΡΡΠ΅ΡΠ½Π° Π²Π΅ΡΡΠΈΡ
- Π¦Π΅Π»Π΅Π²ΠΈ SW: Π‘ΠΎΡΡΡΠ΅ΡΠ½Π°ΡΠ° ΡΡΠ΅Π΄Π°, Π² ΠΊΠΎΡΡΠΎ ΡΠ°Π±ΠΎΡΠΈ ΠΏΡΠΎΠ΄ΡΠΊΡΡΡ
- Π¦Π΅Π»Π΅Π²Π° HW: Π₯Π°ΡΠ΄ΡΠ΅ΡΠ½Π° ΡΡΠ΅Π΄Π°, Π² ΠΊΠΎΡΡΠΎ ΡΠ°Π±ΠΎΡΠΈ ΠΏΡΠΎΠ΄ΡΠΊΡΡΡ
- ΠΡΡΠ³ΠΈ: ΠΠ½ΡΠΎΡΠΌΠ°ΡΠΈΡ Π·Π° Π΄ΠΎΡΡΠ°Π²ΡΠΈΠΊ ΠΈΠ»ΠΈ ΠΏΡΠΎΠ΄ΡΠΊΡ
ΠΡΠΈΠΌΠ΅ΡΠ΅Π½ CPE ΠΈΠ·Π³Π»Π΅ΠΆΠ΄Π° ΡΠ°ΠΊΠ°:
cpe:2.3:a:pivotal_software:spring_framework:3.0.0:*:*:*:*:*:*:*
ΠΠΈΠ·ΡΡ ΠΎΠ·Π½Π°ΡΠ°Π²Π°, ΡΠ΅ CPE Π²Π΅ΡΡΠΈΡ 2.3 ΠΎΠΏΠΈΡΠ²Π° ΠΊΠΎΠΌΠΏΠΎΠ½Π΅Π½Ρ Π½Π° ΠΏΡΠΈΠ»ΠΎΠΆΠ΅Π½ΠΈΠ΅ΡΠΎ ΠΎΡ ΠΏΡΠΎΠΈΠ·Π²ΠΎΠ΄ΠΈΡΠ΅Π»Ρ pivotal_software
ΡΡΡ Π·Π°Π³Π»Π°Π²ΠΈΠ΅ΡΠΎ spring_framework
Π²Π΅ΡΡΠΈΡ 3.0.0. ΠΠΊΠΎ ΠΎΡΠ²ΠΎΡΠΈΠΌ ΡΡΠ·Π²ΠΈΠΌΠΎΡΡ
URL Π°Π΄ΡΠ΅ΡΡΡ ΡΠ΅ ΠΈΠ·ΠΏΠΎΠ»Π·Π²Π° ΠΈ ΠΎΡ SCA ΠΈΠ½ΡΡΡΡΠΌΠ΅Π½ΡΠΈΡΠ΅. Π€ΠΎΡΠΌΠ°ΡΡΡ Π½Π° URL Π°Π΄ΡΠ΅ΡΠ° Π½Π° ΠΏΠ°ΠΊΠ΅ΡΠ° Π΅ ΠΊΠ°ΠΊΡΠΎ ΡΠ»Π΅Π΄Π²Π°:
scheme:type/namespace/name@version?qualifiers#subpath
- Π‘Ρ Π΅ΠΌΠ°: ΠΠΈΠ½Π°Π³ΠΈ ΡΠ΅ ΠΈΠΌΠ° βpkgβ, ΡΠΊΠ°Π·Π²Π°Ρ, ΡΠ΅ ΡΠΎΠ²Π° Π΅ URL Π°Π΄ΡΠ΅Ρ Π½Π° ΠΏΠ°ΠΊΠ΅Ρ (Π·Π°Π΄ΡΠ»ΠΆΠΈΡΠ΅Π»Π½ΠΎ)
- Π’ΠΈΠΏ: βΠ’ΠΈΠΏΡΡβ Π½Π° ΠΏΠ°ΠΊΠ΅ΡΠ° ΠΈΠ»ΠΈ βΠΏΡΠΎΡΠΎΠΊΠΎΠ»ΡΡβ Π½Π° ΠΏΠ°ΠΊΠ΅ΡΠ°, ΠΊΠ°ΡΠΎ maven, npm, nuget, gem, pypi ΠΈ Π΄Ρ. (Π·Π°Π΄ΡΠ»ΠΆΠΈΡΠ΅Π»Π΅Π½ Π΅Π»Π΅ΠΌΠ΅Π½Ρ)
- ΠΠΌΠ΅Π½Π½ΠΎ ΠΏΡΠΎΡΡΡΠ°Π½ΡΡΠ²ΠΎ: ΠΡΠΊΠ°ΠΊΡΠ² ΠΏΡΠ΅ΡΠΈΠΊΡ Π½Π° ΠΈΠΌΠ΅, ΠΊΠ°ΡΠΎ ΠΈΠ΄Π΅Π½ΡΠΈΡΠΈΠΊΠ°ΡΠΎΡ Π½Π° Π³ΡΡΠΏΠ° Maven, ΡΠΎΠ±ΡΡΠ²Π΅Π½ΠΈΠΊ Π½Π° ΠΈΠ·ΠΎΠ±ΡΠ°ΠΆΠ΅Π½ΠΈΠ΅ Π½Π° Docker, ΠΏΠΎΡΡΠ΅Π±ΠΈΡΠ΅Π» ΠΈΠ»ΠΈ ΠΎΡΠ³Π°Π½ΠΈΠ·Π°ΡΠΈΡ Π½Π° GitHub. ΠΠΎ ΠΆΠ΅Π»Π°Π½ΠΈΠ΅ ΠΈ Π·Π°Π²ΠΈΡΠΈ ΠΎΡ Π²ΠΈΠ΄Π°.
- ΠΠΌΠ΅: ΠΠΌΠ΅ Π½Π° ΠΏΠ°ΠΊΠ΅ΡΠ° (Π·Π°Π΄ΡΠ»ΠΆΠΈΡΠ΅Π»Π½ΠΎ)
- ΠΠ΅ΡΡΠΈΡ: ΠΠ΅ΡΡΠΈΡ Π½Π° ΠΏΠ°ΠΊΠ΅ΡΠ°
- ΠΠ²Π°Π»ΠΈΡΠΈΠΊΠ°ΡΠΈΠΈ: ΠΠΎΠΏΡΠ»Π½ΠΈΡΠ΅Π»Π½ΠΈ Π΄Π°Π½Π½ΠΈ Π·Π° ΠΊΠ²Π°Π»ΠΈΡΠΈΠΊΠ°ΡΠΈΡ Π·Π° ΠΏΠ°ΠΊΠ΅ΡΠ°, ΠΊΠ°ΡΠΎ ΠΎΠΏΠ΅ΡΠ°ΡΠΈΠΎΠ½Π½Π° ΡΠΈΡΡΠ΅ΠΌΠ°, Π°ΡΡ ΠΈΡΠ΅ΠΊΡΡΡΠ°, ΡΠ°Π·ΠΏΡΠΎΡΡΡΠ°Π½Π΅Π½ΠΈΠ΅ ΠΈ Ρ.Π½. ΠΠ΅Π·Π°Π΄ΡΠ»ΠΆΠΈΡΠ΅Π»Π΅Π½ ΠΈ ΡΠΏΠ΅ΡΠΈΡΠΈΡΠ΅Π½ Π·Π° ΡΠΈΠΏΠ° Π΅Π»Π΅ΠΌΠ΅Π½Ρ.
- ΠΏΠΎΠ΄ΠΏΡΡ: ΠΠΎΠΏΡΠ»Π½ΠΈΡΠ΅Π»Π΅Π½ ΠΏΡΡ Π² ΠΏΠ°ΠΊΠ΅ΡΠ° ΡΠΏΡΡΠΌΠΎ ΠΊΠΎΡΠ΅Π½Π° Π½Π° ΠΏΠ°ΠΊΠ΅ΡΠ°
ΠΠ°ΠΏΡΠΈΠΌΠ΅Ρ:
pkg:golang/google.golang.org/genproto#googleapis/api/annotations
pkg:maven/org.apache.commons/[email protected]
pkg:pypi/[email protected]
ΠΡΠΈΠΌΠ΅Ρ Π·Π° ΡΠΎΠ²Π° ΠΊΠ°ΠΊ ΠΌΠΎΠΆΠ΅ Π΄Π° ΠΈΠ·Π³Π»Π΅ΠΆΠ΄Π° BOM Π² XML ΡΠΎΡΠΌΠ°Ρ:
<?xml version="1.0" encoding="UTF-8"?>
<bom xmlns="http://cyclonedx.org/schema/bom/1.2" serialNumber="urn:uuid:3e671687-395b-41f5-a30f-a58921a69b79" version="1">
<components>
<component type="library">
<publisher>Apache</publisher>
<group>org.apache.tomcat</group>
<name>tomcat-catalina</name>
<version>9.0.14</version>
<hashes>
<hash alg="MD5">3942447fac867ae5cdb3229b658f4d48</hash>
<hash alg="SHA-1">e6b1000b94e835ffd37f4c6dcbdad43f4b48a02a</hash>
<hash alg="SHA-256">f498a8ff2dd007e29c2074f5e4b01a9a01775c3ff3aeaf6906ea503bc5791b7b</hash>
<hash alg="SHA-512">e8f33e424f3f4ed6db76a482fde1a5298970e442c531729119e37991884bdffab4f9426b7ee11fccd074eeda0634d71697d6f88a460dce0ac8d627a29f7d1282</hash>
</hashes>
<licenses>
<license>
<id>Apache-2.0</id>
</license>
</licenses>
<purl>pkg:maven/org.apache.tomcat/[email protected]</purl>
</component>
<!-- More components here -->
</components>
</bom>
BOM ΠΌΠΎΠΆΠ΅ Π΄Π° ΡΠ΅ ΠΈΠ·ΠΏΠΎΠ»Π·Π²Π° Π½Π΅ ΡΠ°ΠΌΠΎ ΠΊΠ°ΡΠΎ Π²Ρ
ΠΎΠ΄Π½ΠΈ ΠΏΠ°ΡΠ°ΠΌΠ΅ΡΡΠΈ Π·Π° Dependency Track, Π½ΠΎ ΠΈ Π·Π° ΠΈΠ½Π²Π΅Π½ΡΠ°ΡΠΈΠ·ΠΈΡΠ°Π½Π΅ Π½Π° ΡΠΎΡΡΡΠ΅ΡΠ½ΠΈ ΠΊΠΎΠΌΠΏΠΎΠ½Π΅Π½ΡΠΈ Π²ΡΠ² Π²Π΅ΡΠΈΠ³Π°ΡΠ° Π·Π° Π΄ΠΎΡΡΠ°Π²ΠΊΠΈ, Π½Π°ΠΏΡΠΈΠΌΠ΅Ρ Π·Π° ΠΏΡΠ΅Π΄ΠΎΡΡΠ°Π²ΡΠ½Π΅ Π½Π° ΡΠΎΡΡΡΠ΅Ρ Π½Π° ΠΊΠ»ΠΈΠ΅Π½Ρ. ΠΡΠ΅Π· 2014 Π³. Π·Π°ΠΊΠΎΠ½ Π΄ΠΎΡΠΈ Π±Π΅ΡΠ΅ ΠΏΡΠ΅Π΄Π»ΠΎΠΆΠ΅Π½ Π·Π° ΡΠ°Π·Π³Π»Π΅ΠΆΠ΄Π°Π½Π΅ Π² Π‘ΠΠ©
ΠΠ±ΡΠ°ΡΠ½ΠΎ ΠΊΡΠΌ SCA, Dependency Track ΠΈΠΌΠ° Π³ΠΎΡΠΎΠ²ΠΈ ΠΈΠ½ΡΠ΅Π³ΡΠ°ΡΠΈΠΈ Ρ ΠΏΠ»Π°ΡΡΠΎΡΠΌΠΈ Π·Π° ΡΠ²Π΅Π΄ΠΎΠΌΡΠ²Π°Π½Π΅ ΠΊΠ°ΡΠΎ Slack, ΡΠΈΡΡΠ΅ΠΌΠΈ Π·Π° ΡΠΏΡΠ°Π²Π»Π΅Π½ΠΈΠ΅ Π½Π° ΡΡΠ·Π²ΠΈΠΌΠΎΡΡΠΈ ΠΊΠ°ΡΠΎ Kenna Security. Π‘ΡΡΠΎ ΡΠ°ΠΊΠ° ΡΠΈ ΡΡΡΡΠ²Π° Π΄Π° ΡΠ΅ ΡΠΏΠΎΠΌΠ΅Π½Π΅, ΡΠ΅ Dependency Track ΡΡΡΠΎ ΠΎΡΠΊΡΠΈΠ²Π° ΠΎΡΡΠ°ΡΠ΅Π»ΠΈ Π²Π΅ΡΡΠΈΠΈ Π½Π° ΠΏΠ°ΠΊΠ΅ΡΠΈ ΠΈ ΠΏΡΠ΅Π΄ΠΎΡΡΠ°Π²Ρ ΠΈΠ½ΡΠΎΡΠΌΠ°ΡΠΈΡ Π·Π° Π»ΠΈΡΠ΅Π½Π·ΠΈ (ΠΏΠΎΡΠ°Π΄ΠΈ ΠΏΠΎΠ΄Π΄ΡΡΠΆΠΊΠ°ΡΠ° Π½Π° SPDX).
ΠΠΊΠΎ Π³ΠΎΠ²ΠΎΡΠΈΠΌ ΠΊΠΎΠ½ΠΊΡΠ΅ΡΠ½ΠΎ Π·Π° ΠΊΠ°ΡΠ΅ΡΡΠ²ΠΎΡΠΎ Π½Π° SCA, ΡΠΎΠ³Π°Π²Π° ΠΈΠΌΠ° ΡΡΠ½Π΄Π°ΠΌΠ΅Π½ΡΠ°Π»Π½Π° ΡΠ°Π·Π»ΠΈΠΊΠ°.
Dependency Track Π½Π΅ ΠΏΡΠΈΠ΅ΠΌΠ° ΠΏΡΠΎΠ΅ΠΊΡ ΠΊΠ°ΡΠΎ Π²Ρ
ΠΎΠ΄, Π° ΠΏΠΎ-ΡΠΊΠΎΡΠΎ BOM. Π’ΠΎΠ²Π° ΠΎΠ·Π½Π°ΡΠ°Π²Π°, ΡΠ΅ Π°ΠΊΠΎ ΠΈΡΠΊΠ°ΠΌΠ΅ Π΄Π° ΡΠ΅ΡΡΠ²Π°ΠΌΠ΅ ΠΏΡΠΎΠ΅ΠΊΡΠ°, ΠΏΡΡΠ²ΠΎ ΡΡΡΠ±Π²Π° Π΄Π° Π³Π΅Π½Π΅ΡΠΈΡΠ°ΠΌΠ΅ bom.xml, Π½Π°ΠΏΡΠΈΠΌΠ΅Ρ Ρ CycloneDX. ΠΠΎ ΡΠΎΠ·ΠΈ Π½Π°ΡΠΈΠ½ Dependency Track Π·Π°Π²ΠΈΡΠΈ Π΄ΠΈΡΠ΅ΠΊΡΠ½ΠΎ ΠΎΡ CycloneDX. Π ΡΡΡΠΎΡΠΎ Π²ΡΠ΅ΠΌΠ΅ ΠΏΠΎΠ·Π²ΠΎΠ»ΡΠ²Π° ΠΏΠ΅ΡΡΠΎΠ½Π°Π»ΠΈΠ·ΠΈΡΠ°Π½Π΅. Π’Π°ΠΊΠ° ΠΏΠΈΡΠ΅ Π΅ΠΊΠΈΠΏΡΡ Π½Π° OZON
ΠΠ΅ΠΊΠ° ΠΎΠ±ΠΎΠ±ΡΠΈΠΌ Π½ΡΠΊΠΎΠΈ ΠΎΡ ΡΡΠ½ΠΊΡΠΈΠΎΠ½Π°Π»Π½ΠΈΡΠ΅ Ρ Π°ΡΠ°ΠΊΡΠ΅ΡΠΈΡΡΠΈΠΊΠΈ ΠΈ ΡΡΡΠΎ ΡΠ°ΠΊΠ° Π΄Π° ΡΠ°Π·Π³Π»Π΅Π΄Π°ΠΌΠ΅ ΠΏΠΎΠ΄Π΄ΡΡΠΆΠ°Π½ΠΈΡΠ΅ Π΅Π·ΠΈΡΠΈ Π·Π° Π°Π½Π°Π»ΠΈΠ·:
ΠΠ·ΠΈΠΊ
Nexus IQ
ΠΡΠΎΠ²Π΅ΡΠΊΠ° Π½Π° Π·Π°Π²ΠΈΡΠΈΠΌΠΎΡΡΡΠ°
Π‘Π»Π΅Π΄Π° Π½Π° Π·Π°Π²ΠΈΡΠΈΠΌΠΎΡΡΡΠ°
Π―Π²Π°
+
+
+
C / C ++
+
+
-
C#
+
+
-
.Net
+
+
+
ΠΡΠ»Π°Π½Π³
-
-
+
JavaScript (NodeJS)
+
+
+
PHP
+
+
+
ΠΠΈΡΠΎΠ½
+
+
+
Π ΡΠ±ΠΈΠ½
+
+
+
Perl
-
-
-
Scala
+
+
+
Π¦Π΅Π» Π
+
+
-
Swift
+
+
-
R
+
-
-
Go
+
+
+
ΡΡΠ½ΠΊΡΠΈΠΎΠ½Π°Π»Π½ΠΎΡΡ
ΡΡΠ½ΠΊΡΠΈΠΎΠ½Π°Π»Π½ΠΎΡΡ
Nexus IQ
ΠΡΠΎΠ²Π΅ΡΠΊΠ° Π½Π° Π·Π°Π²ΠΈΡΠΈΠΌΠΎΡΡΡΠ°
Π‘Π»Π΅Π΄Π° Π½Π° Π·Π°Π²ΠΈΡΠΈΠΌΠΎΡΡΡΠ°
Π‘ΠΏΠΎΡΠΎΠ±Π½ΠΎΡΡΡΠ° Π΄Π° ΡΠ΅ Π³Π°ΡΠ°Π½ΡΠΈΡΠ°, ΡΠ΅ ΠΊΠΎΠΌΠΏΠΎΠ½Π΅Π½ΡΠΈΡΠ΅, ΠΈΠ·ΠΏΠΎΠ»Π·Π²Π°Π½ΠΈ Π² ΠΈΠ·Ρ
ΠΎΠ΄Π½ΠΈΡ ΠΊΠΎΠ΄, ΡΠ° ΠΏΡΠΎΠ²Π΅ΡΠ΅Π½ΠΈ Π·Π° ΡΠΈΡΡΠΎΡΠ° Π½Π° Π»ΠΈΡΠ΅Π½Π·Π°
+
-
+
ΠΡΠ·ΠΌΠΎΠΆΠ½ΠΎΡΡ Π·Π° ΡΠΊΠ°Π½ΠΈΡΠ°Π½Π΅ ΠΈ Π°Π½Π°Π»ΠΈΠ·ΠΈΡΠ°Π½Π΅ Π·Π° ΡΡΠ·Π²ΠΈΠΌΠΎΡΡΠΈ ΠΈ ΡΠΈΡΡΠΎΡΠ° Π½Π° Π»ΠΈΡΠ΅Π½Π·Π° Π·Π° Docker ΠΈΠ·ΠΎΠ±ΡΠ°ΠΆΠ΅Π½ΠΈΡ
+ ΠΠ½ΡΠ΅Π³ΡΠ°ΡΠΈΡ Ρ Clair
-
-
ΠΡΠ·ΠΌΠΎΠΆΠ½ΠΎΡΡ Π·Π° ΠΊΠΎΠ½ΡΠΈΠ³ΡΡΠΈΡΠ°Π½Π΅ Π½Π° ΠΏΠΎΠ»ΠΈΡΠΈΠΊΠ° Π·Π° ΡΠΈΠ³ΡΡΠ½ΠΎΡΡ Π·Π° ΠΈΠ·ΠΏΠΎΠ»Π·Π²Π°Π½Π΅ Π½Π° Π±ΠΈΠ±Π»ΠΈΠΎΡΠ΅ΠΊΠΈ Ρ ΠΎΡΠ²ΠΎΡΠ΅Π½ ΠΊΠΎΠ΄
+
-
-
ΠΡΠ·ΠΌΠΎΠΆΠ½ΠΎΡΡ Π·Π° ΡΠΊΠ°Π½ΠΈΡΠ°Π½Π΅ Π½Π° Ρ
ΡΠ°Π½ΠΈΠ»ΠΈΡΠ° Ρ ΠΎΡΠ²ΠΎΡΠ΅Π½ ΠΊΠΎΠ΄ Π·Π° ΡΡΠ·Π²ΠΈΠΌΠΈ ΠΊΠΎΠΌΠΏΠΎΠ½Π΅Π½ΡΠΈ
+ RubyGems, Maven, NPM, Nuget, Pypi, Conan, Bower, Conda, Go, p2, R, Yum, Helm, Docker, CocoaPods, Git LFS
-
+ Hex, RubyGems, Maven, NPM, Nuget, Pypi
ΠΠ°Π»ΠΈΡΠΈΠ΅ Π½Π° ΡΠΏΠ΅ΡΠΈΠ°Π»ΠΈΠ·ΠΈΡΠ°Π½ ΠΈΠ·ΡΠ»Π΅Π΄ΠΎΠ²Π°ΡΠ΅Π»ΡΠΊΠΈ Π΅ΠΊΠΈΠΏ
+
-
-
Π Π°Π±ΠΎΡΠ° Π² Π·Π°ΡΠ²ΠΎΡΠ΅Π½Π° Π²Π΅ΡΠΈΠ³Π°
+
+
+
ΠΠ·ΠΏΠΎΠ»Π·Π²Π°Π½Π΅ Π½Π° Π±Π°Π·ΠΈ Π΄Π°Π½Π½ΠΈ Π½Π° ΡΡΠ΅ΡΠΈ ΡΡΡΠ°Π½ΠΈ
+ ΠΠ°ΡΠ²ΠΎΡΠ΅Π½Π° Π±Π°Π·Π° Π΄Π°Π½Π½ΠΈ Sonatype
+ Sonatype OSS, NPM ΠΏΡΠ±Π»ΠΈΡΠ½ΠΈ ΡΡΠ²Π΅ΡΠ½ΠΈΡΠΈ
+ Sonatype OSS, NPM Public Advisors, RetireJS, VulnDB, ΠΏΠΎΠ΄Π΄ΡΡΠΆΠΊΠ° Π½Π° ΡΠΎΠ±ΡΡΠ²Π΅Π½Π° Π±Π°Π·Π° Π΄Π°Π½Π½ΠΈ Π·Π° ΡΡΠ·Π²ΠΈΠΌΠΎΡΡΠΈ
ΠΡΠ·ΠΌΠΎΠΆΠ½ΠΎΡΡ Π·Π° ΡΠΈΠ»ΡΡΠΈΡΠ°Π½Π΅ Π½Π° ΠΊΠΎΠΌΠΏΠΎΠ½Π΅Π½ΡΠΈ Ρ ΠΎΡΠ²ΠΎΡΠ΅Π½ ΠΊΠΎΠ΄ ΠΏΡΠΈ ΠΎΠΏΠΈΡ Π·Π° ΠΊΠ°ΡΠ²Π°Π½Π΅ Π² ΡΠΈΠΊΡΠ» Π·Π° ΡΠ°Π·ΡΠ°Π±ΠΎΡΠΊΠ° ΡΠΏΠΎΡΠ΅Π΄ ΠΊΠΎΠ½ΡΠΈΠ³ΡΡΠΈΡΠ°Π½ΠΈ ΠΏΡΠ°Π²ΠΈΠ»Π°
+
-
-
ΠΡΠ΅ΠΏΠΎΡΡΠΊΠΈ Π·Π° ΠΊΠΎΡΠΈΠ³ΠΈΡΠ°Π½Π΅ Π½Π° ΡΡΠ·Π²ΠΈΠΌΠΎΡΡΠΈ, Π½Π°Π»ΠΈΡΠΈΠ΅ Π½Π° Π²ΡΡΠ·ΠΊΠΈ ΠΊΡΠΌ ΠΊΠΎΡΠ΅ΠΊΡΠΈΡΡΠ°
+
+- (Π·Π°Π²ΠΈΡΠΈ ΠΎΡ ΠΎΠΏΠΈΡΠ°Π½ΠΈΠ΅ΡΠΎ Π² ΠΏΡΠ±Π»ΠΈΡΠ½ΠΈΡΠ΅ Π±Π°Π·ΠΈ Π΄Π°Π½Π½ΠΈ)
+- (Π·Π°Π²ΠΈΡΠΈ ΠΎΡ ΠΎΠΏΠΈΡΠ°Π½ΠΈΠ΅ΡΠΎ Π² ΠΏΡΠ±Π»ΠΈΡΠ½ΠΈΡΠ΅ Π±Π°Π·ΠΈ Π΄Π°Π½Π½ΠΈ)
ΠΠ»Π°ΡΠΈΡΠ°Π½Π΅ Π½Π° ΠΎΡΠΊΡΠΈΡΠΈΡΠ΅ ΡΡΠ·Π²ΠΈΠΌΠΎΡΡΠΈ ΠΏΠΎ ΠΊΡΠΈΡΠΈΡΠ½ΠΎΡΡ
+
+
+
ΠΠΎΠ΄Π΅Π» Π½Π° ΡΠΎΠ»Π΅Π²ΠΈ Π΄ΠΎΡΡΡΠΏ
+
-
+
CLI ΠΏΠΎΠ΄Π΄ΡΡΠΆΠΊΠ°
+
+
+- (ΡΠ°ΠΌΠΎ Π·Π° CycloneDX)
ΠΠ·Π±ΠΎΡ/ΡΠΎΡΡΠΈΡΠ°Π½Π΅ Π½Π° ΡΡΠ·Π²ΠΈΠΌΠΎΡΡΠΈ ΠΏΠΎ ΠΎΠΏΡΠ΅Π΄Π΅Π»Π΅Π½ΠΈ ΠΊΡΠΈΡΠ΅ΡΠΈΠΈ
+
-
+
Π’Π°Π±Π»ΠΎ Π·Π° ΡΠΏΡΠ°Π²Π»Π΅Π½ΠΈΠ΅ ΠΏΠΎ ΡΡΠ°ΡΡΡ Π½Π° ΠΏΡΠΈΠ»ΠΎΠΆΠ΅Π½ΠΈΠ΅ΡΠΎ
+
-
+
ΠΠ΅Π½Π΅ΡΠΈΡΠ°Π½Π΅ Π½Π° ΠΎΡΡΠ΅Ρ Π² PDF ΡΠΎΡΠΌΠ°Ρ
+
-
-
ΠΠ΅Π½Π΅ΡΠΈΡΠ°Π½Π΅ Π½Π° ΠΎΡΡΠ΅Ρ Π²ΡΠ² ΡΠΎΡΠΌΠ°Ρ JSONCSV
+
+
-
ΠΠΎΠ΄Π΄ΡΡΠΆΠΊΠ° Π½Π° ΡΡΡΠΊΠΈ Π΅Π·ΠΈΠΊ
-
-
-
ΠΠΏΡΠΈΠΈ Π·Π° ΠΈΠ½ΡΠ΅Π³ΡΠ°ΡΠΈΡ
ΠΈΠ½ΡΠ΅Π³ΡΠ°ΡΠΈΡ
Nexus IQ
ΠΡΠΎΠ²Π΅ΡΠΊΠ° Π½Π° Π·Π°Π²ΠΈΡΠΈΠΌΠΎΡΡΡΠ°
Π‘Π»Π΅Π΄Π° Π½Π° Π·Π°Π²ΠΈΡΠΈΠΌΠΎΡΡΡΠ°
ΠΠ½ΡΠ΅Π³ΡΠ°ΡΠΈΡ Π½Π° LDAP/Active Directory
+
-
+
Bamboo Π½Π΅ΠΏΡΠ΅ΠΊΡΡΠ½Π°ΡΠ° ΠΈΠ½ΡΠ΅Π³ΡΠ°ΡΠΈΠΎΠ½Π½Π° ΠΈΠ½ΡΠ΅Π³ΡΠ°ΡΠΈΡ
+
-
-
ΠΠ½ΡΠ΅Π³ΡΠ°ΡΠΈΡ ΡΡΡ ΡΠΈΡΡΠ΅ΠΌΠ° Π·Π° Π½Π΅ΠΏΡΠ΅ΠΊΡΡΠ½Π°ΡΠ° ΠΈΠ½ΡΠ΅Π³ΡΠ°ΡΠΈΡ (Π½Π΅ΠΏΡΠ΅ΠΊΡΡΠ½Π°ΡΠ° ΠΈΠ½ΡΠ΅Π³ΡΠ°ΡΠΈΡ) TeamCity
+
-
-
ΠΠ½ΡΠ΅Π³ΡΠ°ΡΠΈΡ ΡΡΡ ΡΠΈΡΡΠ΅ΠΌΠ°ΡΠ° Π·Π° Π½Π΅ΠΏΡΠ΅ΠΊΡΡΠ½Π°ΡΠ° ΠΈΠ½ΡΠ΅Π³ΡΠ°ΡΠΈΡ (Π½Π΅ΠΏΡΠ΅ΠΊΡΡΠ½Π°ΡΠ° ΠΈΠ½ΡΠ΅Π³ΡΠ°ΡΠΈΡ) GitLab
+
+- (ΠΊΠ°ΡΠΎ ΠΏΠ»ΡΠ³ΠΈΠ½ Π·Π° GitLab)
+
ΠΠ½ΡΠ΅Π³ΡΠ°ΡΠΈΡ ΡΡΡ ΡΠΈΡΡΠ΅ΠΌΠ° Π·Π° Π½Π΅ΠΏΡΠ΅ΠΊΡΡΠ½Π°ΡΠ° ΠΈΠ½ΡΠ΅Π³ΡΠ°ΡΠΈΡ (Π½Π΅ΠΏΡΠ΅ΠΊΡΡΠ½Π°ΡΠ° ΠΈΠ½ΡΠ΅Π³ΡΠ°ΡΠΈΡ) ΠΠΆΠ΅Π½ΠΊΠΈΠ½Ρ
+
+
+
ΠΠ°Π»ΠΈΡΠΈΠ΅ Π½Π° IDE Π΄ΠΎΠ±Π°Π²ΠΊΠΈ
+ IntelliJ, Eclipse, Visual Studio
-
-
ΠΠΎΠ΄Π΄ΡΡΠΆΠΊΠ° Π·Π° ΠΏΠ΅ΡΡΠΎΠ½Π°Π»ΠΈΠ·ΠΈΡΠ°Π½Π° ΠΈΠ½ΡΠ΅Π³ΡΠ°ΡΠΈΡ ΡΡΠ΅Π· ΡΠ΅Π± ΡΡΠ»ΡΠ³ΠΈ (API) Π½Π° ΠΈΠ½ΡΡΡΡΠΌΠ΅Π½ΡΠ°
+
-
+
ΠΡΠΎΠ²Π΅ΡΠΊΠ° Π½Π° Π·Π°Π²ΠΈΡΠΈΠΌΠΎΡΡΡΠ°
ΠΡΡΠ²ΠΎ Π½Π°ΡΠ°Π»ΠΎ
Π‘ΡΠ°ΡΡΠΈΡΠ°ΠΉΡΠ΅ ΠΏΡΠΎΠ²Π΅ΡΠΊΠ° Π½Π° Π·Π°Π²ΠΈΡΠΈΠΌΠΎΡΡΡΠ° Π½Π° ΡΠΌΠΈΡΠ»Π΅Π½ΠΎ ΡΡΠ·Π²ΠΈΠΌΠΎ ΠΏΡΠΈΠ»ΠΎΠΆΠ΅Π½ΠΈΠ΅
ΠΠ° ΡΠΎΠ²Π° ΠΈΠ·ΠΏΠΎΠ»Π·Π²Π°ΠΌΠ΅
mvn org.owasp:dependency-check-maven:check
Π ΡΠ΅Π·ΡΠ»ΡΠ°Ρ dependency-check-report.html ΡΠ΅ ΡΠ΅ ΠΏΠΎΡΠ²ΠΈ Π² ΡΠ΅Π»Π΅Π²Π°ΡΠ° Π΄ΠΈΡΠ΅ΠΊΡΠΎΡΠΈΡ.
ΠΠ° ΠΎΡΠ²ΠΎΡΠΈΠΌ ΡΠ°ΠΉΠ»Π°. Π‘Π»Π΅Π΄ ΠΎΠ±ΠΎΠ±ΡΠ΅Π½ΠΈΠ΅ Π½Π° ΠΎΠ±ΡΠΈΡ Π±ΡΠΎΠΉ ΡΡΠ·Π²ΠΈΠΌΠΎΡΡΠΈ, ΠΌΠΎΠΆΠ΅ΠΌ Π΄Π° Π²ΠΈΠ΄ΠΈΠΌ ΠΈΠ½ΡΠΎΡΠΌΠ°ΡΠΈΡ Π·Π° ΡΡΠ·Π²ΠΈΠΌΠΎΡΡΠΈΡΠ΅ Ρ Π²ΠΈΡΠΎΠΊΠΎ Π½ΠΈΠ²ΠΎ Π½Π° ΡΠ΅ΡΠΈΠΎΠ·Π½ΠΎΡΡ ΠΈ ΡΠΈΠ³ΡΡΠ½ΠΎΡΡ, ΠΏΠΎΡΠΎΡΠ²Π°ΠΉΠΊΠΈ ΠΏΠ°ΠΊΠ΅ΡΠ°, CPE, Π±ΡΠΎΡ Π½Π° CVE.
Π‘Π»Π΅Π΄Π²Π° ΠΏΠΎ-ΠΏΠΎΠ΄ΡΠΎΠ±Π½Π° ΠΈΠ½ΡΠΎΡΠΌΠ°ΡΠΈΡ, ΠΏΠΎ-ΡΠΏΠ΅ΡΠΈΠ°Π»Π½ΠΎ Π²ΡΠ· ΠΎΡΠ½ΠΎΠ²Π° Π½Π° ΠΊΠΎΡΡΠΎ Π΅ Π²Π·Π΅ΡΠΎ ΡΠ΅ΡΠ΅Π½ΠΈΠ΅ΡΠΎ (Π΄ΠΎΠΊΠ°Π·Π°ΡΠ΅Π»ΡΡΠ²ΠΎ), ΡΠΎΠ΅ΡΡ ΠΎΠΏΡΠ΅Π΄Π΅Π»Π΅Π½ BOM.
Π‘Π»Π΅Π΄Π²Π°Ρ CPE, PURL ΠΈ ΠΎΠΏΠΈΡΠ°Π½ΠΈΠ΅ Π½Π° CVE. ΠΠ΅ΠΆΠ΄Ρ Π΄ΡΡΠ³ΠΎΡΠΎ, ΠΏΡΠ΅ΠΏΠΎΡΡΠΊΠΈΡΠ΅ Π·Π° ΠΊΠΎΡΠΈΠ³ΠΈΡΠ°Π½Π΅ Π½Π΅ ΡΠ° ΠΏΡΠΈΠ»ΠΎΠΆΠ΅Π½ΠΈ ΠΏΠΎΡΠ°Π΄ΠΈ Π»ΠΈΠΏΡΠ°ΡΠ° ΠΈΠΌ Π² Π±Π°Π·Π°ΡΠ° Π΄Π°Π½Π½ΠΈ Π½Π° NVD.
ΠΠ° Π΄Π° ΠΏΡΠ΅Π³Π»Π΅ΠΆΠ΄Π°ΡΠ΅ ΡΠΈΡΡΠ΅ΠΌΠ°ΡΠΈΡΠ½ΠΎ ΡΠ΅Π·ΡΠ»ΡΠ°ΡΠΈΡΠ΅ ΠΎΡ ΡΠΊΠ°Π½ΠΈΡΠ°Π½Π΅ΡΠΎ, ΠΌΠΎΠΆΠ΅ΡΠ΅ Π΄Π° ΠΊΠΎΠ½ΡΠΈΠ³ΡΡΠΈΡΠ°ΡΠ΅ Nginx Ρ ΠΌΠΈΠ½ΠΈΠΌΠ°Π»Π½ΠΈ Π½Π°ΡΡΡΠΎΠΉΠΊΠΈ ΠΈΠ»ΠΈ Π΄Π° ΠΈΠ·ΠΏΡΠ°ΡΠΈΡΠ΅ ΠΏΠΎΠ»ΡΡΠ΅Π½ΠΈΡΠ΅ Π΄Π΅ΡΠ΅ΠΊΡΠΈ ΠΊΡΠΌ ΡΠΈΡΡΠ΅ΠΌΠ° Π·Π° ΡΠΏΡΠ°Π²Π»Π΅Π½ΠΈΠ΅ Π½Π° Π΄Π΅ΡΠ΅ΠΊΡΠΈ, ΠΊΠΎΡΡΠΎ ΠΏΠΎΠ΄Π΄ΡΡΠΆΠ° ΠΊΠΎΠ½Π΅ΠΊΡΠΎΡΠΈ Π·Π° ΠΏΡΠΎΠ²Π΅ΡΠΊΠ° Π½Π° Π·Π°Π²ΠΈΡΠΈΠΌΠΎΡΡΡΠ°. ΠΠ°ΠΏΡΠΈΠΌΠ΅Ρ ΠΠ΅ΡΠ΅ΠΊΡ ΠΠΎΠ΄ΠΆΠΎ.
Π‘Π»Π΅Π΄Π° Π½Π° Π·Π°Π²ΠΈΡΠΈΠΌΠΎΡΡΡΠ°
ΠΠ½ΡΡΠ°Π»Π°ΡΠΈΡ
Dependency Track ΠΎΡ ΡΠ²ΠΎΡ ΡΡΡΠ°Π½Π° Π΅ ΡΠ΅Π±-Π±Π°Π·ΠΈΡΠ°Π½Π° ΠΏΠ»Π°ΡΡΠΎΡΠΌΠ° Ρ ΠΏΠΎΠΊΠ°Π·Π²Π°Π½Π΅ Π½Π° Π³ΡΠ°ΡΠΈΠΊΠΈ, ΡΠ°ΠΊΠ° ΡΠ΅ Π½ΡΠΌΠ° ΠΎΡΡΡΡ ΠΏΡΠΎΠ±Π»Π΅ΠΌ ΡΡΡ ΡΡΡ
ΡΠ°Π½ΡΠ²Π°Π½Π΅ΡΠΎ Π½Π° Π΄Π΅ΡΠ΅ΠΊΡΠΈ Π² ΡΠ΅ΡΠ΅Π½ΠΈΠ΅ Π½Π° ΡΡΠ΅ΡΠ° ΡΡΡΠ°Π½Π°.
ΠΠΌΠ° ΡΠ»Π΅Π΄Π½ΠΈΡΠ΅ ΠΏΠΎΠ΄Π΄ΡΡΠΆΠ°Π½ΠΈ ΡΡΠ΅Π½Π°ΡΠΈΠΈ Π·Π° ΠΈΠ½ΡΡΠ°Π»ΠΈΡΠ°Π½Π΅: Docker, WAR, Executable WAR.
ΠΡΡΠ²ΠΎ Π½Π°ΡΠ°Π»ΠΎ
ΠΡΠΈΠ΄Π΅ΡΠ΅ Π½Π° URL Π°Π΄ΡΠ΅ΡΠ° Π½Π° ΠΈΠ·ΠΏΡΠ»Π½ΡΠ²Π°Π½Π°ΡΠ° ΡΡΠ»ΡΠ³Π°. ΠΠ»ΠΈΠ·Π°ΠΌΠ΅ ΠΏΡΠ΅Π· admin / admin, ΠΏΡΠΎΠΌΠ΅Π½ΡΠΌΠ΅ Π΄Π°Π½Π½ΠΈΡΠ΅ Π·Π° Π²Ρ ΠΎΠ΄ ΠΈ ΠΏΠ°ΡΠΎΠ»Π°ΡΠ°, ΡΠ»Π΅Π΄ ΠΊΠΎΠ΅ΡΠΎ ΡΡΠΈΠ³Π°ΠΌΠ΅ Π΄ΠΎ ΡΠ°Π±Π»ΠΎΡΠΎ Π·Π° ΡΠΏΡΠ°Π²Π»Π΅Π½ΠΈΠ΅. Π‘Π»Π΅Π΄Π²Π°ΡΠΎΡΠΎ Π½Π΅ΡΠΎ, ΠΊΠΎΠ΅ΡΠΎ ΡΠ΅ Π½Π°ΠΏΡΠ°Π²ΠΈΠΌ, Π΅ Π΄Π° ΡΡΠ·Π΄Π°Π΄Π΅ΠΌ ΠΏΡΠΎΠ΅ΠΊΡ Π·Π° ΡΠ΅ΡΡΠΎΠ²ΠΎ ΠΏΡΠΈΠ»ΠΎΠΆΠ΅Π½ΠΈΠ΅ Π½Π° Java ΠΠ°ΡΠ°Π»ΠΎ/ΠΡΠΎΠ΅ΠΊΡΠΈ β Π‘ΡΠ·Π΄Π°Π²Π°Π½Π΅ Π½Π° ΠΏΡΠΎΠ΅ΠΊΡ . ΠΠ° Π²Π·Π΅ΠΌΠ΅ΠΌ DVJA ΠΊΠ°ΡΠΎ ΠΏΡΠΈΠΌΠ΅Ρ.
Π’ΡΠΉ ΠΊΠ°ΡΠΎ Dependency Track ΠΌΠΎΠΆΠ΅ Π΄Π° ΠΏΡΠΈΠ΅ΠΌΠ° ΡΠ°ΠΌΠΎ BOM ΠΊΠ°ΡΠΎ Π²Ρ
ΠΎΠ΄, ΡΠΎΠ·ΠΈ BOM ΡΡΡΠ±Π²Π° Π΄Π° Π±ΡΠ΄Π΅ ΠΈΠ·Π²Π»Π΅ΡΠ΅Π½. ΠΠ° ΠΈΠ·ΠΏΠΎΠ»Π·Π²Π°ΠΌΠ΅
mvn org.cyclonedx:cyclonedx-maven-plugin:makeAggregateBom
ΠΠΎΠ»ΡΡΠ°Π²Π°ΠΌΠ΅ bom.xml ΠΈ Π·Π°ΡΠ΅ΠΆΠ΄Π°ΠΌΠ΅ ΡΠ°ΠΉΠ»Π° Π² ΡΡΠ·Π΄Π°Π΄Π΅Π½ΠΈΡ ΠΏΡΠΎΠ΅ΠΊΡ DVJA β ΠΠ°Π²ΠΈΡΠΈΠΌΠΎΡΡΠΈ β ΠΠ°ΡΠ²Π°Π½Π΅ Π½Π° BOM.
ΠΠ΅ΠΊΠ° ΠΎΡΠΈΠ΄Π΅ΠΌ Π½Π° ΠΠ΄ΠΌΠΈΠ½ΠΈΡΡΡΠΈΡΠ°Π½Π΅ β ΠΠ½Π°Π»ΠΈΠ·Π°ΡΠΎΡΠΈ. Π Π°Π·Π±ΠΈΡΠ°ΠΌΠ΅, ΡΠ΅ ΠΈΠΌΠ°ΠΌΠ΅ Π°ΠΊΡΠΈΠ²ΠΈΡΠ°Π½ ΡΠ°ΠΌΠΎ Π²ΡΡΡΠ΅ΡΠ½ΠΈΡ Π°Π½Π°Π»ΠΈΠ·Π°ΡΠΎΡ, ΠΊΠΎΠΉΡΠΎ Π²ΠΊΠ»ΡΡΠ²Π° NVD. ΠΠ΅ΠΊΠ° ΡΡΡΠΎ Π΄Π° ΡΠ²ΡΡΠΆΠ΅ΠΌ Sonatype OSS Index.
Π’Π°ΠΊΠ° ΠΏΠΎΠ»ΡΡΠ°Π²Π°ΠΌΠ΅ ΡΠ»Π΅Π΄Π½Π°ΡΠ° ΠΊΠ°ΡΡΠΈΠ½Π° Π·Π° Π½Π°ΡΠΈΡ ΠΏΡΠΎΠ΅ΠΊΡ:
Π‘ΡΡΠΎ ΡΠ°ΠΊΠ° Π² ΡΠΏΠΈΡΡΠΊΠ° ΠΌΠΎΠΆΠ΅ΡΠ΅ Π΄Π° Π½Π°ΠΌΠ΅ΡΠΈΡΠ΅ Π΅Π΄Π½Π° ΡΡΠ·Π²ΠΈΠΌΠΎΡΡ, ΠΏΡΠΈΠ»ΠΎΠΆΠΈΠΌΠ° ΠΊΡΠΌ Sonatype OSS:
ΠΡΠ½ΠΎΠ²Π½ΠΎΡΠΎ ΡΠ°Π·ΠΎΡΠ°ΡΠΎΠ²Π°Π½ΠΈΠ΅ Π±Π΅ΡΠ΅, ΡΠ΅ Dependency Track Π²Π΅ΡΠ΅ Π½Π΅ ΠΏΡΠΈΠ΅ΠΌΠ° xml ΠΎΡΡΠ΅ΡΠΈ Π·Π° ΠΏΡΠΎΠ²Π΅ΡΠΊΠ° Π½Π° Π·Π°Π²ΠΈΡΠΈΠΌΠΎΡΡΠΈΡΠ΅. ΠΠΎΡΠ»Π΅Π΄Π½ΠΈΡΠ΅ ΠΏΠΎΠ΄Π΄ΡΡΠΆΠ°Π½ΠΈ Π²Π΅ΡΡΠΈΠΈ Π½Π° ΠΈΠ½ΡΠ΅Π³ΡΠ°ΡΠΈΡΡΠ° Π·Π° ΠΏΡΠΎΠ²Π΅ΡΠΊΠ° Π½Π° Π·Π°Π²ΠΈΡΠΈΠΌΠΎΡΡΡΠ° Π±ΡΡ
Π° 1.0.0 - 4.0.2, Π΄ΠΎΠΊΠ°ΡΠΎ ΡΠ΅ΡΡΠ²Π°Ρ
5.3.2.
ΡΡΠΊ Π΅
Nexus IQ
ΠΡΡΠ²ΠΎ Π½Π°ΡΠ°Π»ΠΎ
ΠΠ½ΡΡΠ°Π»Π°ΡΠΈΡΡΠ° Π½Π° Nexus IQ ΠΈΠ΄Π²Π° ΠΎΡ ΡΠΎΡΡΡΠ΅ΡΠ½ΠΈΡΠ΅ Π°ΡΡ
ΠΈΠ²ΠΈ
Π‘Π»Π΅Π΄ ΠΊΠ°ΡΠΎ Π²Π»Π΅Π·Π΅ΡΠ΅ Π² ΠΊΠΎΠ½Π·ΠΎΠ»Π°ΡΠ°, ΡΡΡΠ±Π²Π° Π΄Π° ΡΡΠ·Π΄Π°Π΄Π΅ΡΠ΅ ΠΡΠ³Π°Π½ΠΈΠ·Π°ΡΠΈΡ ΠΈ ΠΡΠΈΠ»ΠΎΠΆΠ΅Π½ΠΈΠ΅.
ΠΠ°ΠΊΡΠΎ ΠΌΠΎΠΆΠ΅ΡΠ΅ Π΄Π° Π²ΠΈΠ΄ΠΈΡΠ΅, ΠΊΠΎΠ½ΡΠΈΠ³ΡΡΠ°ΡΠΈΡΡΠ° Π² ΡΠ»ΡΡΠ°Ρ Π½Π° IQ Π΅ ΠΌΠ°Π»ΠΊΠΎ ΠΏΠΎ-ΡΠ»ΠΎΠΆΠ½Π°, Π·Π°ΡΠΎΡΠΎ ΡΡΡΠΎ ΡΡΡΠ±Π²Π° Π΄Π° ΡΡΠ·Π΄Π°Π΄Π΅ΠΌ ΠΏΠΎΠ»ΠΈΡΠΈΠΊΠΈ, ΠΊΠΎΠΈΡΠΎ ΡΠ° ΠΏΡΠΈΠ»ΠΎΠΆΠΈΠΌΠΈ Π·Π° ΡΠ°Π·Π»ΠΈΡΠ½ΠΈ βΠ΅ΡΠ°ΠΏΠΈβ (dev, build, stage, release). Π’ΠΎΠ²Π° Π΅ Π½Π΅ΠΎΠ±Ρ
ΠΎΠ΄ΠΈΠΌΠΎ, Π·Π° Π΄Π° ΡΠ΅ Π±Π»ΠΎΠΊΠΈΡΠ°Ρ ΡΡΠ·Π²ΠΈΠΌΠΈΡΠ΅ ΠΊΠΎΠΌΠΏΠΎΠ½Π΅Π½ΡΠΈ, ΠΊΠΎΠ³Π°ΡΠΎ ΡΠ΅ ΠΏΡΠΈΠ±Π»ΠΈΠΆΠ°Ρ Π΄ΠΎ ΠΏΡΠΎΠΈΠ·Π²ΠΎΠ΄ΡΡΠ²Π΅Π½ΠΈΡ ΡΡΡΠ±ΠΎΠΏΡΠΎΠ²ΠΎΠ΄, ΠΈΠ»ΠΈ Π΄Π° ΡΠ΅ Π±Π»ΠΎΠΊΠΈΡΠ°Ρ Π²Π΅Π΄Π½Π°Π³Π° ΡΠΎΠΌ ΠΏΠΎΠΏΠ°Π΄Π½Π°Ρ Π² Nexus Repo, ΠΊΠΎΠ³Π°ΡΠΎ Π±ΡΠ΄Π°Ρ ΠΈΠ·ΡΠ΅Π³Π»Π΅Π½ΠΈ ΠΎΡ ΡΠ°Π·ΡΠ°Π±ΠΎΡΡΠΈΡΠΈΡΠ΅.
ΠΠ° Π΄Π° ΡΡΠ΅ΡΠΈΡΠ΅ ΡΠ°Π·Π»ΠΈΠΊΠ°ΡΠ° ΠΌΠ΅ΠΆΠ΄Ρ ΠΎΡΠ²ΠΎΡΠ΅Π½ ΠΊΠΎΠ΄ ΠΈ ΠΏΡΠ΅Π΄ΠΏΡΠΈΡΡΠΈΠ΅, Π½Π΅ΠΊΠ° ΠΈΠ·Π²ΡΡΡΠΈΠΌ ΡΡΡΠΎΡΠΎ ΡΠΊΠ°Π½ΠΈΡΠ°Π½Π΅ ΠΏΡΠ΅Π· Nexus IQ ΠΏΠΎ ΡΡΡΠΈΡ Π½Π°ΡΠΈΠ½ ΠΏΡΠ΅Π· dvja-test-and-compare
:
mvn com.sonatype.clm:clm-maven-plugin:evaluate -Dclm.applicationId=dvja-test-and-compare -Dclm.serverUrl=<NEXUSIQIP> -Dclm.username=<USERNAME> -Dclm.password=<PASSWORD>
Π‘Π»Π΅Π΄Π²Π°ΠΉΡΠ΅ URL Π°Π΄ΡΠ΅ΡΠ° ΠΊΡΠΌ Π³Π΅Π½Π΅ΡΠΈΡΠ°Π½ΠΈΡ ΠΎΡΡΠ΅Ρ Π² ΡΠ΅Π± ΠΈΠ½ΡΠ΅ΡΡΠ΅ΠΉΡΠ° Π½Π° IQ:
Π’ΡΠΊ ΠΌΠΎΠΆΠ΅ΡΠ΅ Π΄Π° Π²ΠΈΠ΄ΠΈΡΠ΅ Π²ΡΠΈΡΠΊΠΈ Π½Π°ΡΡΡΠ΅Π½ΠΈΡ Π½Π° ΠΏΡΠ°Π²ΠΈΠ»Π°ΡΠ° Ρ ΡΠ°Π·Π»ΠΈΡΠ½ΠΈ Π½ΠΈΠ²Π° Π½Π° ΡΠ΅ΡΠΈΠΎΠ·Π½ΠΎΡΡ (ΠΎΡ ΠΠ½ΡΠΎΡΠΌΠ°ΡΠΈΡ Π΄ΠΎ ΠΡΠΈΡΠΈΡΠ½ΠΎ Π·Π° ΡΠΈΠ³ΡΡΠ½ΠΎΡΡΡΠ°). ΠΡΠΊΠ²Π°ΡΠ° D Π΄ΠΎ ΠΊΠΎΠΌΠΏΠΎΠ½Π΅Π½ΡΠ° ΠΎΠ·Π½Π°ΡΠ°Π²Π°, ΡΠ΅ ΠΊΠΎΠΌΠΏΠΎΠ½Π΅Π½ΡΡΡ Π΅ Direct Dependency, Π° Π±ΡΠΊΠ²Π°ΡΠ° T Π΄ΠΎ ΠΊΠΎΠΌΠΏΠΎΠ½Π΅Π½ΡΠ° ΠΎΠ·Π½Π°ΡΠ°Π²Π°, ΡΠ΅ ΠΊΠΎΠΌΠΏΠΎΠ½Π΅Π½ΡΡΡ Π΅ Transitive Dependency, Ρ.Π΅. ΡΠΎΠΉ Π΅ ΡΡΠ°Π½Π·ΠΈΡΠΈΠ²Π΅Π½.
ΠΠ΅ΠΆΠ΄Ρ Π΄ΡΡΠ³ΠΎΡΠΎ, Π΄ΠΎΠΊΠ»Π°Π΄ΡΡ
ΠΠΊΠΎ ΠΎΡΠ²ΠΎΡΠΈΠΌ Π½ΡΠΊΠΎΠ΅ ΠΎΡ Π½Π°ΡΡΡΠ΅Π½ΠΈΡΡΠ° Π½Π° ΠΏΡΠ°Π²ΠΈΠ»Π°ΡΠ° Π½Π° Nexus IQ, ΠΌΠΎΠΆΠ΅ΠΌ Π΄Π° Π²ΠΈΠ΄ΠΈΠΌ ΠΎΠΏΠΈΡΠ°Π½ΠΈΠ΅ΡΠΎ Π½Π° ΠΊΠΎΠΌΠΏΠΎΠ½Π΅Π½ΡΠ°, ΠΊΠ°ΠΊΡΠΎ ΠΈ Π³ΡΠ°ΡΠΈΠΊΠ°ΡΠ° Π½Π° Π²Π΅ΡΡΠΈΠΈΡΠ΅, ΠΊΠΎΡΡΠΎ ΠΏΠΎΠΊΠ°Π·Π²Π° ΠΌΠ΅ΡΡΠΎΠΏΠΎΠ»ΠΎΠΆΠ΅Π½ΠΈΠ΅ΡΠΎ Π½Π° ΡΠ΅ΠΊΡΡΠ°ΡΠ° Π²Π΅ΡΡΠΈΡ Π½Π° Π²ΡΠ΅ΠΌΠ΅Π²Π°ΡΠ° Π³ΡΠ°ΡΠΈΠΊΠ°, ΠΊΠ°ΠΊΡΠΎ ΠΈ Π² ΠΊΠΎΠΉ ΠΌΠΎΠΌΠ΅Π½Ρ ΡΡΠ·Π²ΠΈΠΌΠΎΡΡΡΠ° ΠΏΡΠ΅ΡΡΠ°Π²Π° Π΄Π° Π±ΡΠ΄Π΅ΡΠ΅ ΡΡΠ·Π²ΠΈΠΌΠΈ. ΠΠΈΡΠΎΡΠΈΠ½Π°ΡΠ° Π½Π° ΡΠ²Π΅ΡΠΈΡΠ΅ Π½Π° Π³ΡΠ°ΡΠΈΠΊΠ°ΡΠ° ΠΏΠΎΠΊΠ°Π·Π²Π° ΠΏΠΎΠΏΡΠ»ΡΡΠ½ΠΎΡΡΡΠ° Π½Π° ΠΈΠ·ΠΏΠΎΠ»Π·Π²Π°Π½Π΅ΡΠΎ Π½Π° ΡΠΎΠ·ΠΈ ΠΊΠΎΠΌΠΏΠΎΠ½Π΅Π½Ρ.
ΠΠΊΠΎ ΠΎΡΠΈΠ΄Π΅ΡΠ΅ Π² ΡΠ°Π·Π΄Π΅Π»Π° Π·Π° ΡΡΠ·Π²ΠΈΠΌΠΎΡΡΠΈ ΠΈ ΠΎΡΠ²ΠΎΡΠΈΡΠ΅ CVE, ΠΌΠΎΠΆΠ΅ΡΠ΅ Π΄Π° ΠΏΡΠΎΡΠ΅ΡΠ΅ΡΠ΅ ΠΎΠΏΠΈΡΠ°Π½ΠΈΠ΅ΡΠΎ Π½Π° ΡΠ°Π·ΠΈ ΡΡΠ·Π²ΠΈΠΌΠΎΡΡ, ΠΏΡΠ΅ΠΏΠΎΡΡΠΊΠΈ Π·Π° ΠΎΡΡΡΡΠ°Π½ΡΠ²Π°Π½Π΅, ΠΊΠ°ΠΊΡΠΎ ΠΈ ΠΏΡΠΈΡΠΈΠ½Π°ΡΠ°, ΠΏΠΎΡΠ°Π΄ΠΈ ΠΊΠΎΡΡΠΎ ΡΠΎΠ·ΠΈ ΠΊΠΎΠΌΠΏΠΎΠ½Π΅Π½Ρ Π΅ Π±ΠΈΠ» Π½Π°ΡΡΡΠ΅Π½, ΡΠΎΠ΅ΡΡ Π½Π°Π»ΠΈΡΠΈΠ΅ΡΠΎ Π½Π° ΠΊΠ»Π°ΡΠ° DiskFileitem.class
.
ΠΠ΅ΠΊΠ° ΠΎΠ±ΠΎΠ±ΡΠΈΠΌ ΡΠ°ΠΌΠΎ Java ΠΊΠΎΠΌΠΏΠΎΠ½Π΅Π½ΡΠΈΡΠ΅ Π½Π° ΡΡΠ΅ΡΠΈ ΡΡΡΠ°Π½ΠΈ, ΠΊΠ°ΡΠΎ ΠΏΡΠ΅ΠΌΠ°Ρ
Π½Π΅ΠΌ js ΠΊΠΎΠΌΠΏΠΎΠ½Π΅Π½ΡΠΈΡΠ΅. Π ΡΠΊΠΎΠ±ΠΈ ΠΏΠΎΡΠΎΡΠ²Π°ΠΌΠ΅ Π±ΡΠΎΡ Π½Π° ΠΎΠ½Π΅Π·ΠΈ ΡΡΠ·Π²ΠΈΠΌΠΎΡΡΠΈ, ΠΊΠΎΠΈΡΠΎ ΡΠ° ΠΎΡΠΊΡΠΈΡΠΈ ΠΈΠ·Π²ΡΠ½ NVD.
ΠΠ±Ρ Nexus IQ:
- Π‘ΠΊΠ°Π½ΠΈΡΠ°Π½ΠΈ Π·Π°Π²ΠΈΡΠΈΠΌΠΎΡΡΠΈ: 62
- Π£ΡΠ·Π²ΠΈΠΌΠΈ Π·Π°Π²ΠΈΡΠΈΠΌΠΎΡΡΠΈ: 16
- ΠΠ°ΠΌΠ΅ΡΠ΅Π½ΠΈ ΡΡΠ·Π²ΠΈΠΌΠΎΡΡΠΈ: 42 (8 sonatype db)
ΠΡΠ»Π½Π° ΠΏΡΠΎΠ²Π΅ΡΠΊΠ° Π½Π° Π·Π°Π²ΠΈΡΠΈΠΌΠΎΡΡΡΠ°:
- Π‘ΠΊΠ°Π½ΠΈΡΠ°Π½ΠΈ Π·Π°Π²ΠΈΡΠΈΠΌΠΎΡΡΠΈ: 47
- Π£ΡΠ·Π²ΠΈΠΌΠΈ Π·Π°Π²ΠΈΡΠΈΠΌΠΎΡΡΠΈ: 13
- ΠΠ°ΠΌΠ΅ΡΠ΅Π½ΠΈ ΡΡΠ·Π²ΠΈΠΌΠΎΡΡΠΈ: 91 (14 sonatype oss)
ΠΡΠΎΡΠ»Π΅Π΄ΡΠ²Π°Π½Π΅ Π½Π° ΠΏΡΠ»Π½Π° Π·Π°Π²ΠΈΡΠΈΠΌΠΎΡΡ:
- Π‘ΠΊΠ°Π½ΠΈΡΠ°Π½ΠΈ Π·Π°Π²ΠΈΡΠΈΠΌΠΎΡΡΠΈ: 59
- Π£ΡΠ·Π²ΠΈΠΌΠΈ Π·Π°Π²ΠΈΡΠΈΠΌΠΎΡΡΠΈ: 10
- ΠΠ°ΠΌΠ΅ΡΠ΅Π½ΠΈ ΡΡΠ·Π²ΠΈΠΌΠΎΡΡΠΈ: 51 (1 sonatype oss)
Π‘Π»Π΅Π΄Π²Π°ΡΠ°ΡΠ° ΡΡΡΠΏΠΊΠ° Π΅ Π΄Π° Π°Π½Π°Π»ΠΈΠ·ΠΈΡΠ°ΡΠ΅ ΡΠ΅Π·ΡΠ»ΡΠ°ΡΠΈΡΠ΅ ΠΈ Π΄Π° ΡΠ°Π·Π±Π΅ΡΠ΅ΡΠ΅ ΠΊΠΎΡ ΠΎΡ ΡΠ΅Π·ΠΈ ΡΡΠ·Π²ΠΈΠΌΠΎΡΡΠΈ Π΅ ΠΈΡΡΠΈΠ½ΡΠΊΠΈ Π΄Π΅ΡΠ΅ΠΊΡ ΠΈ ΠΊΠΎΡ Π΅ ΡΠ°Π»ΡΠΈΠ²ΠΎ ΠΏΠΎΠ»ΠΎΠΆΠΈΡΠ΅Π»Π½ΠΎ.
ΠΠΏΡΠΎΠ²Π΅ΡΠΆΠ΅Π½ΠΈΠ΅
Π’ΠΎΠ·ΠΈ ΠΏΡΠ΅Π³Π»Π΅Π΄ Π½Π΅ Π΅ Π±Π΅Π·ΡΠΏΠΎΡΠ½Π° ΠΈΡΡΠΈΠ½Π°. ΠΠ²ΡΠΎΡΡΡ Π½Π΅ Π΅ ΠΈΠΌΠ°Π» Π·Π° ΡΠ΅Π» Π΄Π° ΠΎΡΠ΄Π΅Π»ΠΈ ΠΎΡΠ΄Π΅Π»Π΅Π½ ΠΈΠ½ΡΡΡΡΠΌΠ΅Π½Ρ Π½Π° ΡΠΎΠ½Π° Π½Π° Π΄ΡΡΠ³ΠΈ. Π¦Π΅Π»ΡΠ° Π½Π° ΠΏΡΠ΅Π³Π»Π΅Π΄Π° Π±Π΅ΡΠ΅ Π΄Π° ΡΠ΅ ΠΏΠΎΠΊΠ°ΠΆΠ΅ ΠΊΠ°ΠΊ ΡΠ°Π±ΠΎΡΡΡ SCA ΠΈΠ½ΡΡΡΡΠΌΠ΅Π½ΡΠΈΡΠ΅ ΠΈ ΠΊΠ°ΠΊ Π΄Π° ΡΠ΅ ΠΏΡΠΎΠ²Π΅ΡΡΡ ΡΠ΅Ρ Π½ΠΈΡΠ΅ ΡΠ΅Π·ΡΠ»ΡΠ°ΡΠΈ.
Π‘ΡΠ°Π²Π½Π΅Π½ΠΈΠ΅ Π½Π° ΡΠ΅Π·ΡΠ»ΡΠ°ΡΠΈΡΠ΅
ΠΡΠ°Π²ΠΈΠ»Π° ΠΈ ΡΡΠ»ΠΎΠ²ΠΈΡ:
Π€Π°Π»ΡΠΈΠ²ΠΈΡΠ΅ ΠΏΠΎΠ»ΠΎΠΆΠΈΡΠ΅Π»Π½ΠΈ ΡΠ΅Π·ΡΠ»ΡΠ°ΡΠΈ Π·Π° ΡΡΠ·Π²ΠΈΠΌΠΎΡΡΠΈ Π½Π° ΠΊΠΎΠΌΠΏΠΎΠ½Π΅Π½ΡΠΈ Π½Π° ΡΡΠ΅ΡΠΈ ΡΡΡΠ°Π½ΠΈ ΡΠ°:
- CVE Π½Π΅ΡΡΠΎΡΠ²Π΅ΡΡΡΠ²ΠΈΠ΅ Ρ ΠΈΠ΄Π΅Π½ΡΠΈΡΠΈΡΠΈΡΠ°Π½ΠΈΡ ΠΊΠΎΠΌΠΏΠΎΠ½Π΅Π½Ρ
- ΠΠ°ΠΏΡΠΈΠΌΠ΅Ρ, Π°ΠΊΠΎ ΡΠ΅ ΠΎΡΠΊΡΠΈΠ΅ ΡΡΠ·Π²ΠΈΠΌΠΎΡΡ Π² ΡΠ°ΠΌΠΊΠ°ΡΠ° struts2 ΠΈ ΠΈΠ½ΡΡΡΡΠΌΠ΅Π½ΡΡΡ ΡΠΎΡΠΈ ΠΊΡΠΌ ΠΊΠΎΠΌΠΏΠΎΠ½Π΅Π½Ρ ΠΎΡ ΡΠ°ΠΌΠΊΠ°ΡΠ° struts-tiles, ΠΊΠΎΠΉΡΠΎ Π½Π΅ Π΅ Π·Π°ΡΠ΅Π³Π½Π°Ρ ΠΎΡ ΡΠ°Π·ΠΈ ΡΡΠ·Π²ΠΈΠΌΠΎΡΡ, ΡΠΎΠ³Π°Π²Π° ΡΠΎΠ²Π° Π΅ ΡΠ°Π»ΡΠΈΠ²ΠΎ ΠΏΠΎΠ»ΠΎΠΆΠΈΡΠ΅Π»Π½ΠΎ
- CVE Π½Π΅ΡΡΠΎΡΠ²Π΅ΡΡΡΠ²ΠΈΠ΅ Ρ ΠΎΡΠΊΡΠΈΡΠ°ΡΠ° Π²Π΅ΡΡΠΈΡ Π½Π° ΠΊΠΎΠΌΠΏΠΎΠ½Π΅Π½ΡΠ°
- ΠΠ°ΠΏΡΠΈΠΌΠ΅Ρ, ΡΡΠ·Π²ΠΈΠΌΠΎΡΡΡΠ° Π΅ ΡΠ²ΡΡΠ·Π°Π½Π° Ρ Π²Π΅ΡΡΠΈΡ Π½Π° Python > 3.5 ΠΈ ΠΈΠ½ΡΡΡΡΠΌΠ΅Π½ΡΡΡ ΠΌΠ°ΡΠΊΠΈΡΠ° Π²Π΅ΡΡΠΈΡ 2.7 ΠΊΠ°ΡΠΎ ΡΡΠ·Π²ΠΈΠΌΠ° - ΡΠΎΠ²Π° Π΅ ΡΠ°Π»ΡΠΈΠ²ΠΎ ΠΏΠΎΠ»ΠΎΠΆΠΈΡΠ΅Π»Π½ΠΎ, ΡΡΠΉ ΠΊΠ°ΡΠΎ Π²ΡΡΡΠ½ΠΎΡΡ ΡΡΠ·Π²ΠΈΠΌΠΎΡΡΡΠ° ΡΠ΅ ΠΎΡΠ½Π°ΡΡ ΡΠ°ΠΌΠΎ Π·Π° ΠΏΡΠΎΠ΄ΡΠΊΡΠΎΠ²ΠΈΡ ΠΊΠ»ΠΎΠ½ 3.x
- ΠΡΠ±Π»ΠΈΡΠ°Π½Π΅ Π½Π° CVE
- ΠΠ°ΠΏΡΠΈΠΌΠ΅Ρ, Π°ΠΊΠΎ SCA ΡΠΎΡΠΈ ΠΊΡΠΌ CVE, ΠΊΠΎΠΉΡΠΎ ΠΏΠΎΠ·Π²ΠΎΠ»ΡΠ²Π° Π²Π½Π΅Π΄ΡΡΠ²Π°Π½Π΅ΡΠΎ Π½Π° RCE, ΡΠΎΠ³Π°Π²Π° SCA ΡΠΎΡΠΈ ΠΊΡΠΌ ΡΡΡΠΈΡ CVE, ΠΊΠΎΠΉΡΠΎ ΡΠ΅ ΠΏΡΠΈΠ»Π°Π³Π° ΠΊΡΠΌ ΠΏΡΠΎΠ΄ΡΠΊΡΠΈ Π½Π° Cisco, ΠΊΠΎΠΈΡΠΎ ΡΠ° ΠΏΡΠ΅Π΄ΠΌΠ΅Ρ Π½Π° ΡΠΎΠ·ΠΈ RCE. Π ΡΠΎΠ·ΠΈ ΡΠ»ΡΡΠ°ΠΉ ΡΠΎ ΡΠ΅ Π±ΡΠ΄Π΅ ΡΠ°Π»ΡΠΈΠ²ΠΎ ΠΏΠΎΠ»ΠΎΠΆΠΈΡΠ΅Π»Π½ΠΎ.
- ΠΠ°ΠΏΡΠΈΠΌΠ΅Ρ, CVE Π΅ Π½Π°ΠΌΠ΅ΡΠ΅Π½ Π² ΠΊΠΎΠΌΠΏΠΎΠ½Π΅Π½ΡΠ° spring-web, ΡΠ»Π΅Π΄ ΠΊΠΎΠ΅ΡΠΎ SCA ΡΠΎΡΠΈ ΠΊΡΠΌ ΡΡΡΠΈΡ CVE Π² Π΄ΡΡΠ³ΠΈ ΠΊΠΎΠΌΠΏΠΎΠ½Π΅Π½ΡΠΈ Π½Π° Spring Framework, Π΄ΠΎΠΊΠ°ΡΠΎ CVE Π½ΡΠΌΠ° Π½ΠΈΡΠΎ ΠΎΠ±ΡΠΎ Ρ Π΄ΡΡΠ³ΠΈ ΠΊΠΎΠΌΠΏΠΎΠ½Π΅Π½ΡΠΈ. Π ΡΠΎΠ·ΠΈ ΡΠ»ΡΡΠ°ΠΉ ΡΠΎ ΡΠ΅ Π±ΡΠ΄Π΅ ΡΠ°Π»ΡΠΈΠ²ΠΎ ΠΏΠΎΠ»ΠΎΠΆΠΈΡΠ΅Π»Π½ΠΎ.
ΠΠ±Π΅ΠΊΡ Π½Π° ΠΈΠ·ΡΠ»Π΅Π΄Π²Π°Π½Π΅ Π΅ ΠΏΡΠΎΠ΅ΠΊΡΡΡ Ρ ΠΎΡΠ²ΠΎΡΠ΅Π½ ΠΊΠΎΠ΄ DVJA. ΠΡΠΎΡΡΠ²Π°Π½Π΅ΡΠΎ Π²ΠΊΠ»ΡΡΠ²Π° ΡΠ°ΠΌΠΎ java ΠΊΠΎΠΌΠΏΠΎΠ½Π΅Π½ΡΠΈ (Π±Π΅Π· js).
ΠΠ±ΠΎΠ±ΡΠ΅Π½ΠΈ ΡΠ΅Π·ΡΠ»ΡΠ°ΡΠΈ
ΠΠ΅ΠΊΠ° Π΄Π° ΠΏΡΠ΅ΠΌΠΈΠ½Π΅ΠΌ ΠΊΡΠΌ ΡΠ΅Π·ΡΠ»ΡΠ°ΡΠ° ΠΎΡ ΡΡΡΠ½ΠΈΡ ΠΏΡΠ΅Π³Π»Π΅Π΄ Π½Π° ΠΈΠ΄Π΅Π½ΡΠΈΡΠΈΡΠΈΡΠ°Π½ΠΈΡΠ΅ ΡΡΠ·Π²ΠΈΠΌΠΎΡΡΠΈ. ΠΡΠ»Π΅Π½ ΠΎΡΡΠ΅Ρ Π·Π° Π²ΡΠ΅ΠΊΠΈ CVE ΠΌΠΎΠΆΠ΅ Π΄Π° Π±ΡΠ΄Π΅ Π½Π°ΠΌΠ΅ΡΠ΅Π½ Π² ΠΡΠΈΠ»ΠΎΠΆΠ΅Π½ΠΈΠ΅ΡΠΎ.
ΠΠ±ΠΎΠ±ΡΠ΅Π½ΠΈ ΡΠ΅Π·ΡΠ»ΡΠ°ΡΠΈ Π·Π° Π²ΡΠΈΡΠΊΠΈ ΡΡΠ·Π²ΠΈΠΌΠΎΡΡΠΈ:
ΠΠ°ΡΠ°ΠΌΠ΅ΡΡΡ
Nexus IQ
ΠΡΠΎΠ²Π΅ΡΠΊΠ° Π½Π° Π·Π°Π²ΠΈΡΠΈΠΌΠΎΡΡΡΠ°
Π‘Π»Π΅Π΄Π° Π½Π° Π·Π°Π²ΠΈΡΠΈΠΌΠΎΡΡΡΠ°
ΠΠ±ΡΠΎ ΠΈΠ΄Π΅Π½ΡΠΈΡΠΈΡΠΈΡΠ°Π½ΠΈ ΡΡΠ·Π²ΠΈΠΌΠΎΡΡΠΈ
42
91
51
ΠΠ΅ΠΏΡΠ°Π²ΠΈΠ»Π½ΠΎ ΠΈΠ΄Π΅Π½ΡΠΈΡΠΈΡΠΈΡΠ°Π½ΠΈ ΡΡΠ·Π²ΠΈΠΌΠΎΡΡΠΈ (ΡΠ°Π»ΡΠΈΠ²ΠΎ ΠΏΠΎΠ»ΠΎΠΆΠΈΡΠ΅Π»Π½ΠΎ)
2 (4.76%)
62 (68,13%)
29 (56.86%)
ΠΠ΅ ΡΠ° Π½Π°ΠΌΠ΅ΡΠ΅Π½ΠΈ ΠΏΠΎΠ΄Ρ
ΠΎΠ΄ΡΡΠΈ ΡΡΠ·Π²ΠΈΠΌΠΎΡΡΠΈ (ΡΠ°Π»ΡΠΈΠ²ΠΎ ΠΎΡΡΠΈΡΠ°ΡΠ΅Π»Π½ΠΎ)
10
20
27
ΠΠ±ΠΎΠ±ΡΠ΅Π½ΠΈ ΡΠ΅Π·ΡΠ»ΡΠ°ΡΠΈ ΠΏΠΎ ΠΊΠΎΠΌΠΏΠΎΠ½Π΅Π½ΡΠΈ:
ΠΠ°ΡΠ°ΠΌΠ΅ΡΡΡ
Nexus IQ
ΠΡΠΎΠ²Π΅ΡΠΊΠ° Π½Π° Π·Π°Π²ΠΈΡΠΈΠΌΠΎΡΡΡΠ°
Π‘Π»Π΅Π΄Π° Π½Π° Π·Π°Π²ΠΈΡΠΈΠΌΠΎΡΡΡΠ°
ΠΠ±ΡΠΎ ΡΠ°Π·ΠΊΡΠΈΡΠΈ ΠΊΠΎΠΌΠΏΠΎΠ½Π΅Π½ΡΠΈ
62
47
59
ΠΠ±ΡΠΎ ΡΡΠ·Π²ΠΈΠΌΠΈ ΠΊΠΎΠΌΠΏΠΎΠ½Π΅Π½ΡΠΈ
16
13
10
Π£ΡΠ·Π²ΠΈΠΌΠΈΡΠ΅ ΠΊΠΎΠΌΠΏΠΎΠ½Π΅Π½ΡΠΈ ΡΠ° ΠΈΠ΄Π΅Π½ΡΠΈΡΠΈΡΠΈΡΠ°Π½ΠΈ Π½Π΅ΠΏΡΠ°Π²ΠΈΠ»Π½ΠΎ (ΡΠ°Π»ΡΠΈΠ²ΠΎ ΠΏΠΎΠ»ΠΎΠΆΠΈΡΠ΅Π»Π½ΠΎ)
1
5
0
Π£ΡΠ·Π²ΠΈΠΌΠΈΡΠ΅ ΠΊΠΎΠΌΠΏΠΎΠ½Π΅Π½ΡΠΈ ΡΠ° ΠΈΠ΄Π΅Π½ΡΠΈΡΠΈΡΠΈΡΠ°Π½ΠΈ Π½Π΅ΠΏΡΠ°Π²ΠΈΠ»Π½ΠΎ (ΡΠ°Π»ΡΠΈΠ²ΠΎ ΠΏΠΎΠ»ΠΎΠΆΠΈΡΠ΅Π»Π½ΠΎ)
0
6
6
ΠΠ΅ΠΊΠ° ΠΈΠ·Π³ΡΠ°Π΄ΠΈΠΌ Π²ΠΈΠ·ΡΠ°Π»Π½ΠΈ Π³ΡΠ°ΡΠΈΠΊΠΈ, Π·Π° Π΄Π° ΠΎΡΠ΅Π½ΠΈΠΌ ΡΡΠΎΡΠ½ΠΎΡΠ΅Π½ΠΈΠ΅ΡΠΎ Π½Π° ΡΠ°Π»ΡΠΈΠ²ΠΈΡΠ΅ ΠΏΠΎΠ»ΠΎΠΆΠΈΡΠ΅Π»Π½ΠΈ ΠΈ ΡΠ°Π»ΡΠΈΠ²ΠΎ ΠΎΡΡΠΈΡΠ°ΡΠ΅Π»Π½ΠΈΡΠ΅ ΡΠ΅Π·ΡΠ»ΡΠ°ΡΠΈ ΠΊΡΠΌ ΠΎΠ±ΡΠΈΡ Π±ΡΠΎΠΉ ΡΡΠ·Π²ΠΈΠΌΠΎΡΡΠΈ. ΠΠΎΠΌΠΏΠΎΠ½Π΅Π½ΡΠΈΡΠ΅ ΡΠ° ΠΌΠ°ΡΠΊΠΈΡΠ°Π½ΠΈ Ρ ΠΎΡΠΈΠ·ΠΎΠ½ΡΠ°Π»Π½ΠΎ, Π° ΡΡΠ·Π²ΠΈΠΌΠΎΡΡΠΈΡΠ΅, ΠΈΠ΄Π΅Π½ΡΠΈΡΠΈΡΠΈΡΠ°Π½ΠΈ Π² ΡΡΡ , ΡΠ° ΠΌΠ°ΡΠΊΠΈΡΠ°Π½ΠΈ Π²Π΅ΡΡΠΈΠΊΠ°Π»Π½ΠΎ.
ΠΠ° ΡΡΠ°Π²Π½Π΅Π½ΠΈΠ΅, ΠΏΠΎΠ΄ΠΎΠ±Π½ΠΎ ΠΏΡΠΎΡΡΠ²Π°Π½Π΅ Π±Π΅ΡΠ΅ ΠΏΡΠΎΠ²Π΅Π΄Π΅Π½ΠΎ ΠΎΡ Π΅ΠΊΠΈΠΏΠ° Π½Π° Sonatype, ΠΊΠΎΠΉΡΠΎ ΡΠ΅ΡΡΠ²Π° ΠΏΡΠΎΠ΅ΠΊΡ ΠΎΡ 1531 ΠΊΠΎΠΌΠΏΠΎΠ½Π΅Π½ΡΠ°, ΠΈΠ·ΠΏΠΎΠ»Π·Π²Π°ΠΉΠΊΠΈ OWASP Dependency Check. ΠΠ°ΠΊΡΠΎ Π²ΠΈΠΆΠ΄Π°ΠΌΠ΅, ΡΡΠΎΡΠ½ΠΎΡΠ΅Π½ΠΈΠ΅ΡΠΎ Π½Π° ΡΡΠΌΠ° ΠΊΡΠΌ ΠΏΡΠ°Π²ΠΈΠ»Π½ΠΈΡΠ΅ ΠΎΡΠ³ΠΎΠ²ΠΎΡΠΈ Π΅ Π² ΡΡΠΎΡΠ²Π΅ΡΡΡΠ²ΠΈΠ΅ Ρ Π½Π°ΡΠΈΡΠ΅ ΡΠ΅Π·ΡΠ»ΡΠ°ΡΠΈ.
ΠΠ·ΡΠΎΡΠ½ΠΈΠΊ:
ΠΠ΅ΠΊΠ° Π΄Π° ΡΠ°Π·Π³Π»Π΅Π΄Π°ΠΌΠ΅ Π½ΡΠΊΠΎΠΈ ΠΎΡ CVE ΠΎΡ Π½Π°ΡΠΈΡΠ΅ ΡΠ΅Π·ΡΠ»ΡΠ°ΡΠΈ ΠΎΡ ΡΠΊΠ°Π½ΠΈΡΠ°Π½Π΅, Π·Π° Π΄Π° ΡΠ°Π·Π±Π΅ΡΠ΅ΠΌ ΠΏΡΠΈΡΠΈΠ½Π°ΡΠ° Π·Π° ΡΠ΅Π·ΠΈ ΡΠ΅Π·ΡΠ»ΡΠ°ΡΠΈ.
ΠΡΠ΅
β 1
ΠΠ΅ΠΊΠ° ΠΏΡΡΠ²ΠΎ Π°Π½Π°Π»ΠΈΠ·ΠΈΡΠ°ΠΌΠ΅ Π½ΡΠΊΠΎΠΈ ΠΈΠ½ΡΠ΅ΡΠ΅ΡΠ½ΠΈ ΠΌΠΎΠΌΠ΅Π½ΡΠΈ ΠΎΡ Sonatype Nexus IQ.
Nexus IQ ΠΏΠΎΡΠΎΡΠ²Π° ΠΏΡΠΎΠ±Π»Π΅ΠΌ Ρ Π΄Π΅ΡΠ΅ΡΠΈΠ°Π»ΠΈΠ·Π°ΡΠΈΡΡΠ° Ρ Π²ΡΠ·ΠΌΠΎΠΆΠ½ΠΎΡΡΡΠ° Π·Π° RCE ΠΌΠ½ΠΎΠ³ΠΎΠΊΡΠ°ΡΠ½ΠΎ Π² Spring Framework. CVE-2016-1000027 Π² spring-web:3.0.5 Π·Π° ΠΏΡΡΠ²ΠΈ ΠΏΡΡ ΠΈ CVE-2011-2894 Π² spring-context:3.0.5 ΠΈ spring-core:3.0.5. ΠΡΡΠ²ΠΎΠ½Π°ΡΠ°Π»Π½ΠΎ ΠΈΠ·Π³Π»Π΅ΠΆΠ΄Π°, ΡΠ΅ ΠΈΠΌΠ° Π΄ΡΠ±Π»ΠΈΡΠ°Π½Π΅ Π½Π° ΡΡΠ·Π²ΠΈΠΌΠΎΡΡΡΠ° Π² Π½ΡΠΊΠΎΠ»ΠΊΠΎ CVE. ΠΠ°ΡΠΎΡΠΎ, Π°ΠΊΠΎ ΠΏΠΎΠ³Π»Π΅Π΄Π½Π΅ΡΠ΅ CVE-2016-1000027 ΠΈ CVE-2011-2894 Π² Π±Π°Π·Π°ΡΠ° Π΄Π°Π½Π½ΠΈ Π½Π° NVD, ΠΈΠ·Π³Π»Π΅ΠΆΠ΄Π°, ΡΠ΅ Π²ΡΠΈΡΠΊΠΎ Π΅ ΠΎΡΠ΅Π²ΠΈΠ΄Π½ΠΎ
ΠΊΠΎΠΌΠΏΠΎΠ½Π΅Π½Ρ
Π£ΡΠ·Π²ΠΈΠΌΠΎΡΡ
spring-web:3.0.5
CVE-2016 1000027-
ΠΏΡΠΎΠ»Π΅ΡΠ΅Π½ ΠΊΠΎΠ½ΡΠ΅ΠΊΡΡ: 3.0.5
CVE-2011 2894-
ΠΏΡΡΠΆΠΈΠ½Π½ΠΎ ΡΠ΄ΡΠΎ:3.0.5
CVE-2011 2894-
ΠΎΠΏΠΈΡΠ°Π½ΠΈΠ΅
ΠΎΠΏΠΈΡΠ°Π½ΠΈΠ΅
CVE-2011-2894 Π΅ Π΄ΠΎΡΡΠ° Π΄ΠΎΠ±ΡΠ΅ ΠΈΠ·Π²Π΅ΡΡΠ΅Π½ ΡΠ°ΠΌ ΠΏΠΎ ΡΠ΅Π±Π΅ ΡΠΈ. Π Π΄ΠΎΠΊΠ»Π°Π΄Π° RemoteInvocationSerializingExporter
Π² CVE-2011-2894, ΡΡΠ·Π²ΠΈΠΌΠΎΡΡΡΠ° ΡΠ΅ Π²ΠΈΠΆΠ΄Π° Π² HttpInvokerServiceExporter
. ΠΡΠΎ ΠΊΠ°ΠΊΠ²ΠΎ Π½ΠΈ ΠΊΠ°Π·Π²Π° Nexus IQ:
Π NVD ΠΎΠ±Π°ΡΠ΅ Π½ΡΠΌΠ° Π½ΠΈΡΠΎ ΠΏΠΎΠ΄ΠΎΠ±Π½ΠΎ, ΠΏΠΎΡΠ°Π΄ΠΈ ΠΊΠΎΠ΅ΡΠΎ ΠΏΡΠΎΠ²Π΅ΡΠΊΠ°ΡΠ° Π½Π° Π·Π°Π²ΠΈΡΠΈΠΌΠΎΡΡΠΈΡΠ΅ ΠΈ ΠΏΡΠΎΡΠ»Π΅Π΄ΡΠ²Π°Π½Π΅ΡΠΎ Π½Π° Π·Π°Π²ΠΈΡΠΈΠΌΠΎΡΡΠΈΡΠ΅ ΠΏΠΎΠ»ΡΡΠ°Π²Π°Ρ ΡΠ°Π»ΡΠΈΠ²ΠΈ ΠΎΡΡΠΈΡΠ°Π½ΠΈΡ.
ΠΡ ΠΎΠΏΠΈΡΠ°Π½ΠΈΠ΅ΡΠΎ Π½Π° CVE-2011-2894 ΠΌΠΎΠΆΠ΅ ΡΡΡΠΎ Π΄Π° ΡΠ΅ ΡΠ°Π·Π±Π΅ΡΠ΅, ΡΠ΅ ΡΡΠ·Π²ΠΈΠΌΠΎΡΡΡΠ° Π½Π°ΠΈΡΡΠΈΠ½Π° ΠΏΡΠΈΡΡΡΡΠ²Π° ΠΊΠ°ΠΊΡΠΎ Π² spring-context:3.0.5, ΡΠ°ΠΊΠ° ΠΈ Π² spring-core:3.0.5. ΠΠΎΡΠ²ΡΡΠΆΠ΄Π΅Π½ΠΈΠ΅ Π·Π° ΡΠΎΠ²Π° ΠΌΠΎΠΆΠ΅ Π΄Π° ΡΠ΅ Π½Π°ΠΌΠ΅ΡΠΈ Π² ΡΡΠ°ΡΠΈΡΡΠ° ΠΎΡ ΡΠΎΠ·ΠΈ, ΠΊΠΎΠΉΡΠΎ Π΅ ΠΎΡΠΊΡΠΈΠ» ΡΠ°Π·ΠΈ ΡΡΠ·Π²ΠΈΠΌΠΎΡΡ.
β 2
ΠΊΠΎΠΌΠΏΠΎΠ½Π΅Π½Ρ
Π£ΡΠ·Π²ΠΈΠΌΠΎΡΡ
Π Π΅Π·ΡΠ»ΡΠ°Ρ
Π½ΠΎΡΠ°ΡΠΈ2-ΡΠ΄ΡΠΎ:2.3.30
CVE-2016 4003-
FALSE
ΠΠΊΠΎ ΠΏΡΠΎΡΡΠΈΠΌ ΡΡΠ·Π²ΠΈΠΌΠΎΡΡΡΠ° Π½Π° CVE-2016-4003, ΡΠ΅ ΡΠ°Π·Π±Π΅ΡΠ΅ΠΌ, ΡΠ΅ ΡΡ Π΅ ΠΊΠΎΡΠΈΠ³ΠΈΡΠ°Π½Π° Π²ΡΠ² Π²Π΅ΡΡΠΈΡ 2.3.28, Π²ΡΠΏΡΠ΅ΠΊΠΈ ΡΠΎΠ²Π° Nexus IQ Π½ΠΈ ΠΈΠ½ΡΠΎΡΠΌΠΈΡΠ° Π·Π° ΡΠΎΠ²Π°. Π ΠΎΠΏΠΈΡΠ°Π½ΠΈΠ΅ΡΠΎ Π½Π° ΡΡΠ·Π²ΠΈΠΌΠΎΡΡΡΠ° ΠΈΠΌΠ° Π·Π°Π±Π΅Π»Π΅ΠΆΠΊΠ°:
Π’ΠΎΠ΅ΡΡ ΡΡΠ·Π²ΠΈΠΌΠΎΡΡΡΠ° ΡΡΡΠ΅ΡΡΠ²ΡΠ²Π° ΡΠ°ΠΌΠΎ Π²ΡΠ² Π²ΡΡΠ·ΠΊΠ° Ρ ΠΎΡΡΠ°ΡΡΠ»Π° Π²Π΅ΡΡΠΈΡ Π½Π° JRE, Π·Π° ΠΊΠΎΡΡΠΎ ΡΠ΅ΡΠΈΡ
Π° Π΄Π° Π½ΠΈ ΠΏΡΠ΅Π΄ΡΠΏΡΠ΅Π΄ΡΡ. ΠΡΠΏΡΠ΅ΠΊΠΈ ΡΠΎΠ²Π°, Π½ΠΈΠ΅ Π³ΠΎ ΡΡΠΈΡΠ°ΠΌΠ΅ Π·Π° ΡΠ°Π»ΡΠΈΠ²ΠΎ ΠΏΠΎΠ»ΠΎΠΆΠΈΡΠ΅Π»Π½ΠΎ, Π²ΡΠΏΡΠ΅ΠΊΠΈ ΡΠ΅ Π½Π΅ Π΅ Π½Π°ΠΉ-ΡΠΆΠ°ΡΠ½ΠΎΡΠΎ.
β 3
ΠΊΠΎΠΌΠΏΠΎΠ½Π΅Π½Ρ
Π£ΡΠ·Π²ΠΈΠΌΠΎΡΡ
Π Π΅Π·ΡΠ»ΡΠ°Ρ
xwork-core: 2.3.30
CVE-2017 9804-
TRUE
xwork-core: 2.3.30
CVE-2017 7672-
FALSE
ΠΠΊΠΎ ΠΏΠΎΠ³Π»Π΅Π΄Π½Π΅ΠΌ ΠΎΠΏΠΈΡΠ°Π½ΠΈΠ΅ΡΠΎ Π½Π° CVE-2017-9804 ΠΈ CVE-2017-7672, ΡΠ΅ ΡΠ°Π·Π±Π΅ΡΠ΅ΠΌ, ΡΠ΅ ΠΏΡΠΎΠ±Π»Π΅ΠΌΡΡ Π΅ Π² URLValidator class
, Ρ CVE-2017-9804, ΠΏΡΠΎΠΈΠ·ΡΠΈΡΠ°Ρ ΠΎΡ CVE-2017-7672. ΠΠ°Π»ΠΈΡΠΈΠ΅ΡΠΎ Π½Π° Π²ΡΠΎΡΠ°ΡΠ° ΡΡΠ·Π²ΠΈΠΌΠΎΡΡ Π½Π΅ Π½ΠΎΡΠΈ Π½ΠΈΠΊΠ°ΠΊΡΠ² ΠΏΠΎΠ»Π΅Π·Π΅Π½ ΡΠΎΠ²Π°Ρ, ΠΎΡΠ²Π΅Π½ ΡΠ΅ Π½Π΅ΠΉΠ½Π°ΡΠ° ΡΠ΅ΠΆΠ΅ΡΡ Π΅ Π½Π°ΡΠ°ΡΠ½Π°Π»Π° Π΄ΠΎ Π²ΠΈΡΠΎΠΊΠ°, ΡΠ°ΠΊΠ° ΡΠ΅ ΡΠΎΠ²Π° ΠΌΠΎΠΆΠ΅ Π΄Π° ΡΠ΅ ΡΡΠΈΡΠ° Π·Π° Π½Π΅Π½ΡΠΆΠ΅Π½ ΡΡΠΌ.
ΠΠ°ΡΠΎ ΡΡΠ»ΠΎ Π½Π΅ ΡΠ° ΠΎΡΠΊΡΠΈΡΠΈ Π΄ΡΡΠ³ΠΈ ΡΠ°Π»ΡΠΈΠ²ΠΈ ΠΏΠΎΠ»ΠΎΠΆΠΈΡΠ΅Π»Π½ΠΈ ΡΠ΅Π·ΡΠ»ΡΠ°ΡΠΈ Π·Π° Nexus IQ.
β 4
ΠΠΌΠ° Π½ΡΠΊΠΎΠ»ΠΊΠΎ Π½Π΅ΡΠ°, ΠΊΠΎΠΈΡΠΎ ΠΎΡΠ»ΠΈΡΠ°Π²Π°Ρ IQ ΠΎΡ Π΄ΡΡΠ³ΠΈΡΠ΅ ΡΠ΅ΡΠ΅Π½ΠΈΡ.
ΠΊΠΎΠΌΠΏΠΎΠ½Π΅Π½Ρ
Π£ΡΠ·Π²ΠΈΠΌΠΎΡΡ
Π Π΅Π·ΡΠ»ΡΠ°Ρ
spring-web:3.0.5
CVE-2020 5398-
TRUE
CVE Π² NVD ΠΊΠ°Π·Π²Π°, ΡΠ΅ ΡΠ΅ ΠΎΡΠ½Π°ΡΡ ΡΠ°ΠΌΠΎ Π·Π° Π²Π΅ΡΡΠΈΠΈ 5.2.x Π΄ΠΎ 5.2.3, 5.1.x Π΄ΠΎ 5.1.13 ΠΈ Π²Π΅ΡΡΠΈΠΈ 5.0.x Π΄ΠΎ 5.0.16, Π½ΠΎ Π°ΠΊΠΎ ΠΏΠΎΠ³Π»Π΅Π΄Π½Π΅ΠΌ ΠΎΠΏΠΈΡΠ°Π½ΠΈΠ΅ΡΠΎ Π½Π° CVE Π² Nexus IQ, ΡΠΎΠ³Π°Π²Π° ΡΠ΅ Π²ΠΈΠ΄ΠΈΠΌ ΡΠ»Π΅Π΄Π½ΠΎΡΠΎ:
Π£Π²Π΅Π΄ΠΎΠΌΠΈΡΠ΅Π»Π½Π° Π±Π΅Π»Π΅ΠΆΠΊΠ° Π·Π° ΠΎΡΠΊΠ»ΠΎΠ½Π΅Π½ΠΈΠ΅: ΠΠΊΠΈΠΏΡΡ Π·Π° ΠΈΠ·ΡΠ»Π΅Π΄Π²Π°Π½Π΅ Π½Π° ΡΠΈΠ³ΡΡΠ½ΠΎΡΡΡΠ° Π½Π° Sonatype ΠΎΡΠΊΡΠΈ, ΡΠ΅ ΡΠ°Π·ΠΈ ΡΡΠ·Π²ΠΈΠΌΠΎΡΡ Π΅ Π²ΡΠ²Π΅Π΄Π΅Π½Π° Π²ΡΠ² Π²Π΅ΡΡΠΈΡ 3.0.2.RELEASE, Π° Π½Π΅ 5.0.x, ΠΊΠ°ΠΊΡΠΎ Π΅ ΠΏΠΎΡΠΎΡΠ΅Π½ΠΎ Π² ΠΏΡΠ΅ΠΏΠΎΡΡΠΊΠ°ΡΠ°.
Π’ΠΎΠ²Π° Π΅ ΠΏΠΎΡΠ»Π΅Π΄Π²Π°Π½ΠΎ ΠΎΡ PoC Π·Π° ΡΠ°Π·ΠΈ ΡΡΠ·Π²ΠΈΠΌΠΎΡΡ, ΠΊΠΎΡΡΠΎ Π³Π»Π°ΡΠΈ, ΡΠ΅ ΡΡ ΠΏΡΠΈΡΡΡΡΠ²Π° Π²ΡΠ² Π²Π΅ΡΡΠΈΡ 3.0.5.
Π€Π°Π»ΡΠΈΠ²ΠΈΡΡ ΠΎΡΡΠΈΡΠ°ΡΠ΅Π»Π΅Π½ ΡΠ΅Π·ΡΠ»ΡΠ°Ρ ΡΠ΅ ΠΈΠ·ΠΏΡΠ°ΡΠ° Π½Π° ΠΡΠΎΠ²Π΅ΡΠΊΠ° Π½Π° Π·Π°Π²ΠΈΡΠΈΠΌΠΎΡΡΡΠ° ΠΈ ΠΡΠΎΡΠ»Π΅Π΄ΡΠ²Π°Π½Π΅ Π½Π° Π·Π°Π²ΠΈΡΠΈΠΌΠΎΡΡΡΠ°.
β 5
ΠΠ΅ΠΊΠ° ΡΠ°Π·Π³Π»Π΅Π΄Π°ΠΌΠ΅ ΡΠ°Π»ΡΠΈΠ²ΠΈΡΠ΅ ΠΏΠΎΠ»ΠΎΠΆΠΈΡΠ΅Π»Π½ΠΈ ΡΠ΅Π·ΡΠ»ΡΠ°ΡΠΈ Π·Π° ΠΏΡΠΎΠ²Π΅ΡΠΊΠ° Π½Π° Π·Π°Π²ΠΈΡΠΈΠΌΠΎΡΡΠΈ ΠΈ ΠΏΡΠΎΡΠ»Π΅Π΄ΡΠ²Π°Π½Π΅ Π½Π° Π·Π°Π²ΠΈΡΠΈΠΌΠΎΡΡΠΈ.
ΠΡΠΎΠ²Π΅ΡΠΊΠ°ΡΠ° Π½Π° Π·Π°Π²ΠΈΡΠΈΠΌΠΎΡΡΡΠ° ΡΠ΅ ΠΎΡΠΊΡΠΎΡΠ²Π° ΠΏΠΎ-ΡΠΏΠ΅ΡΠΈΠ°Π»Π½ΠΎ, Π·Π°ΡΠΎΡΠΎ ΠΎΡΡΠ°Π·ΡΠ²Π° ΠΎΠ½Π΅Π·ΠΈ CVE, ΠΊΠΎΠΈΡΠΎ ΡΠ΅ ΠΏΡΠΈΠ»Π°Π³Π°Ρ Π·Π° ΡΡΠ»Π°ΡΠ° ΡΠ°ΠΌΠΊΠ° Π² NVD, ΠΊΡΠΌ ΠΎΠ½Π΅Π·ΠΈ ΠΊΠΎΠΌΠΏΠΎΠ½Π΅Π½ΡΠΈ, ΠΊΡΠΌ ΠΊΠΎΠΈΡΠΎ ΡΠ΅Π·ΠΈ CVE Π½Π΅ ΡΠ΅ ΠΏΡΠΈΠ»Π°Π³Π°Ρ. Π’ΠΎΠ²Π° ΡΠ΅ ΠΎΡΠ½Π°ΡΡ Π·Π° CVE-2012-0394, CVE-2013-2115, CVE-2014-0114, CVE-2015-0899, CVE-2015-2992, CVE-2016-1181, CVE-2016-1182, ΠΊΠΎΠΈΡΠΎ ΠΡΠΎΠ²Π΅ΡΠΊΠ°ΡΠ° Π½Π° Π·Π°Π²ΠΈΡΠΈΠΌΠΎΡΡΡΠ° Π΅ βΠ·Π°ΠΊΡΠ΅ΠΏΠ΅Π½Π° β ΠΊΡΠΌ struts-taglib:1.3.8 ΠΈ struts-tiles-1.3.8. Π’Π΅Π·ΠΈ ΠΊΠΎΠΌΠΏΠΎΠ½Π΅Π½ΡΠΈ Π½ΡΠΌΠ°Ρ Π½ΠΈΡΠΎ ΠΎΠ±ΡΠΎ Ρ ΡΠΎΠ²Π°, ΠΊΠΎΠ΅ΡΠΎ Π΅ ΠΎΠΏΠΈΡΠ°Π½ΠΎ Π² CVE - ΠΎΠ±ΡΠ°Π±ΠΎΡΠΊΠ° Π½Π° Π·Π°ΡΠ²ΠΊΠΈ, Π²Π°Π»ΠΈΠ΄ΠΈΡΠ°Π½Π΅ Π½Π° ΡΡΡΠ°Π½ΠΈΡΠΈ ΠΈ Ρ.Π½. Π’ΠΎΠ²Π° ΡΠ΅ Π΄ΡΠ»ΠΆΠΈ Π½Π° ΡΠ°ΠΊΡΠ°, ΡΠ΅ ΡΠ°ΠΌΠΎ ΡΠ°ΠΌΠΊΠ°ΡΠ° Π΅ ΠΎΠ±ΡΠ° ΠΌΠ΅ΠΆΠ΄Ρ ΡΠ΅Π·ΠΈ CVE ΠΈ ΠΊΠΎΠΌΠΏΠΎΠ½Π΅Π½ΡΠΈ, ΠΏΠΎΡΠ°Π΄ΠΈ ΠΊΠΎΠ΅ΡΠΎ ΠΏΡΠΎΠ²Π΅ΡΠΊΠ°ΡΠ° Π½Π° Π·Π°Π²ΠΈΡΠΈΠΌΠΎΡΡΡΠ° ΡΡΠΈΡΠ° ΡΠΎΠ²Π° Π·Π° ΡΡΠ·Π²ΠΈΠΌΠΎΡΡ.
Π‘ΡΡΠ°ΡΠ° ΡΠΈΡΡΠ°ΡΠΈΡ Ρ spring-tx:3.0.5 ΠΈ ΠΏΠΎΠ΄ΠΎΠ±Π½Π° ΡΠΈΡΡΠ°ΡΠΈΡ ΡΡΡ struts-core:1.3.8. ΠΠ° struts-core, Dependency Check ΠΈ Dependency Track ΠΎΡΠΊΡΠΈΡ Π° ΠΌΠ½ΠΎΠ³ΠΎ ΡΡΠ·Π²ΠΈΠΌΠΎΡΡΠΈ, ΠΊΠΎΠΈΡΠΎ Π²ΡΡΡΠ½ΠΎΡΡ ΡΠ΅ ΠΎΡΠ½Π°ΡΡΡ Π·Π° struts2-core, ΠΊΠΎΠ΅ΡΠΎ ΠΏΠΎ ΡΡΡΠ΅ΡΡΠ²ΠΎ Π΅ ΠΎΡΠ΄Π΅Π»Π½Π° ΡΠ°ΠΌΠΊΠ°. Π ΡΠΎΠ·ΠΈ ΡΠ»ΡΡΠ°ΠΉ Nexus IQ ΠΏΡΠ°Π²ΠΈΠ»Π½ΠΎ ΡΠ°Π·Π±ΡΠ° ΠΊΠ°ΡΡΠΈΠ½Π°ΡΠ° ΠΈ Π² ΡΠ΅Π·ΠΈ CVE, ΠΊΠΎΠΈΡΠΎ ΠΈΠ·Π΄Π°Π΄Π΅, ΠΏΠΎΡΠΎΡΠΈ, ΡΠ΅ struts-core Π΅ ΠΈΠ·ΡΠ΅ΠΊΡΠ» ΠΈ Π΅ Π½Π΅ΠΎΠ±Ρ ΠΎΠ΄ΠΈΠΌΠΎ Π΄Π° ΡΠ΅ ΠΏΡΠ΅ΠΌΠΈΠ½Π΅ ΠΊΡΠΌ struts2-core.
β 6
Π Π½ΡΠΊΠΎΠΈ ΡΠΈΡΡΠ°ΡΠΈΠΈ ΡΡΠ΅ΡΠΈΡΠ°Π½Π΅ΡΠΎ Π½Π° ΠΈΠ·ΡΠΈΡΠ½Π° Π³ΡΠ΅ΡΠΊΠ° ΠΏΡΠΈ ΠΏΡΠΎΠ²Π΅ΡΠΊΠ° Π½Π° Π·Π°Π²ΠΈΡΠΈΠΌΠΎΡΡΠΈ ΠΈ ΠΏΡΠΎΡΠ»Π΅Π΄ΡΠ²Π°Π½Π΅ Π½Π° Π·Π°Π²ΠΈΡΠΈΠΌΠΎΡΡΠΈ Π΅ Π½Π΅ΡΠΏΡΠ°Π²Π΅Π΄Π»ΠΈΠ²ΠΎ. ΠΠΎ-ΡΠΏΠ΅ΡΠΈΠ°Π»Π½ΠΎ CVE-2013-4152, CVE-2013-6429, CVE-2013-6430, CVE-2013-7315, CVE-2014-0054, CVE-2014-0225, CVE-2014-0225, ΠΊΠΎΠΈΡΠΎ ΡΠ° ΠΏΡΠΎΠ²Π΅ΡΠΊΠ° Π½Π° Π·Π°Π²ΠΈΡΠΈΠΌΠΎΡΡΠΈ ΠΈ ΠΏΡΠΎΡΠ»Π΅Π΄ΡΠ²Π°Π½Π΅ Π½Π° Π·Π°Π²ΠΈΡΠΈΠΌΠΎΡΡΠΈ ΠΎΡΠ½Π°ΡΡ ΡΠ΅ Π·Π° spring-core:3.0.5 Π²ΡΡΡΠ½ΠΎΡΡ ΡΠ΅ ΠΎΡΠ½Π°ΡΡ Π΄ΠΎ spring-web:3.0.5. Π ΡΡΡΠΎΡΠΎ Π²ΡΠ΅ΠΌΠ΅ Π½ΡΠΊΠΎΠΈ ΠΎΡ ΡΠ΅Π·ΠΈ CVE Π±ΡΡ Π° ΠΎΡΠΊΡΠΈΡΠΈ ΠΎΡ Nexus IQ, Π½ΠΎ IQ ΠΏΡΠ°Π²ΠΈΠ»Π½ΠΎ Π³ΠΈ ΠΈΠ΄Π΅Π½ΡΠΈΡΠΈΡΠΈΡΠ° Ρ Π΄ΡΡΠ³ ΠΊΠΎΠΌΠΏΠΎΠ½Π΅Π½Ρ. ΠΡ ΡΠ°ΠΊΡΠ°, ΡΠ΅ ΡΠ΅Π·ΠΈ ΡΡΠ·Π²ΠΈΠΌΠΎΡΡΠΈ Π½Π΅ ΡΠ° ΠΎΡΠΊΡΠΈΡΠΈ Π² spring-core, Π½Π΅ ΠΌΠΎΠΆΠ΅ Π΄Π° ΡΠ΅ ΡΠ²ΡΡΠ΄ΠΈ, ΡΠ΅ ΡΠ΅ Π½Π΅ ΡΠ° Π² ΡΠ°ΠΌΠΊΠ°ΡΠ° ΠΏΠΎ ΠΏΡΠΈΠ½ΡΠΈΠΏ ΠΈ ΠΈΠ½ΡΡΡΡΠΌΠ΅Π½ΡΠΈΡΠ΅ Ρ ΠΎΡΠ²ΠΎΡΠ΅Π½ ΠΊΠΎΠ΄ ΠΏΡΠ°Π²ΠΈΠ»Π½ΠΎ ΠΏΠΎΡΠΎΡΠΈΡ Π° ΡΠ΅Π·ΠΈ ΡΡΠ·Π²ΠΈΠΌΠΎΡΡΠΈ (ΡΠ΅ ΠΏΡΠΎΡΡΠΎ ΠΏΡΠΎΠΏΡΡΠ½Π°Ρ Π° ΠΌΠ°Π»ΠΊΠΎ).
ΠΠ°Π½Π½ΠΈ
ΠΠ°ΠΊΡΠΎ Π²ΠΈΠΆΠ΄Π°ΠΌΠ΅, ΠΎΠΏΡΠ΅Π΄Π΅Π»ΡΠ½Π΅ΡΠΎ Π½Π° Π½Π°Π΄Π΅ΠΆΠ΄Π½ΠΎΡΡΡΠ° Π½Π° ΠΈΠ΄Π΅Π½ΡΠΈΡΠΈΡΠΈΡΠ°Π½ΠΈΡΠ΅ ΡΡΠ·Π²ΠΈΠΌΠΎΡΡΠΈ ΡΡΠ΅Π· ΡΡΡΠ΅Π½ ΠΏΡΠ΅Π³Π»Π΅Π΄ Π½Π΅ Π΄Π°Π²Π° Π½Π΅Π΄Π²ΡΡΠΌΠΈΡΠ»Π΅Π½ΠΈ ΡΠ΅Π·ΡΠ»ΡΠ°ΡΠΈ, ΠΊΠΎΠ΅ΡΠΎ ΠΏΠΎΡΠ°ΠΆΠ΄Π° ΠΏΡΠΎΡΠΈΠ²ΠΎΡΠ΅ΡΠΈΠ²ΠΈ Π²ΡΠΏΡΠΎΡΠΈ. Π Π΅Π·ΡΠ»ΡΠ°ΡΠΈΡΠ΅ ΡΠ°, ΡΠ΅ ΡΠ΅ΡΠ΅Π½ΠΈΠ΅ΡΠΎ Nexus IQ ΠΈΠΌΠ° Π½Π°ΠΉ-Π½ΠΈΡΡΠΊ ΠΏΡΠΎΡΠ΅Π½Ρ ΡΠ°Π»ΡΠΈΠ²ΠΈ ΠΏΠΎΠ»ΠΎΠΆΠΈΡΠ΅Π»Π½ΠΈ ΡΠ΅Π·ΡΠ»ΡΠ°ΡΠΈ ΠΈ Π½Π°ΠΉ-Π²ΠΈΡΠΎΠΊΠ° ΡΠΎΡΠ½ΠΎΡΡ.
ΠΠ° ΠΏΡΡΠ²ΠΎ ΠΌΡΡΡΠΎ, ΡΠΎΠ²Π° ΡΠ΅ Π΄ΡΠ»ΠΆΠΈ Π½Π° ΡΠ°ΠΊΡΠ°, ΡΠ΅ Π΅ΠΊΠΈΠΏΡΡ Π½Π° Sonatype ΡΠ°Π·ΡΠΈΡΠΈ ΠΎΠΏΠΈΡΠ°Π½ΠΈΠ΅ΡΠΎ Π·Π° Π²ΡΡΠΊΠ° ΡΡΠ·Π²ΠΈΠΌΠΎΡΡ Π½Π° CVE ΠΎΡ NVD Π² ΡΠ²ΠΎΠΈΡΠ΅ Π±Π°Π·ΠΈ Π΄Π°Π½Π½ΠΈ, ΠΊΠ°ΡΠΎ ΠΏΠΎΡΠΎΡΠΈ Π΄ΠΎ ΠΊΠ»Π°ΡΠ° ΠΈΠ»ΠΈ ΡΡΠ½ΠΊΡΠΈΡΡΠ° Π½Π° ΡΡΠ·Π²ΠΈΠΌΠΎΡΡΡΠ° Π·Π° ΠΎΠΏΡΠ΅Π΄Π΅Π»Π΅Π½Π° Π²Π΅ΡΡΠΈΡ Π½Π° ΠΊΠΎΠΌΠΏΠΎΠ½Π΅Π½ΡΠ°, ΠΊΠ°ΡΠΎ ΠΈΠ·Π²ΡΡΡΠΈ Π΄ΠΎΠΏΡΠ»Π½ΠΈΡΠ΅Π»Π½ΠΈ ΠΏΡΠΎΡΡΠ²Π°Π½Π΅ (Π½Π°ΠΏΡΠΈΠΌΠ΅Ρ ΡΡΠ΅Π· ΠΏΡΠΎΠ²Π΅ΡΠΊΠ° Π½Π° ΡΡΠ·Π²ΠΈΠΌΠΎΡΡΠΈ Π² ΠΏΠΎ-ΡΡΠ°ΡΠΈ Π²Π΅ΡΡΠΈΠΈ Π½Π° ΡΠΎΡΡΡΠ΅ΡΠ°).
ΠΠ°ΠΆΠ½ΠΎ Π²Π»ΠΈΡΠ½ΠΈΠ΅ Π²ΡΡΡ
Ρ ΡΠ΅Π·ΡΠ»ΡΠ°ΡΠΈΡΠ΅ ΠΎΠΊΠ°Π·Π²Π°Ρ ΠΈ ΠΎΠ½Π΅Π·ΠΈ ΡΡΠ·Π²ΠΈΠΌΠΎΡΡΠΈ, ΠΊΠΎΠΈΡΠΎ Π½Π΅ ΡΠ° Π²ΠΊΠ»ΡΡΠ΅Π½ΠΈ Π² NVD, Π½ΠΎ Π²ΡΠΏΡΠ΅ΠΊΠΈ ΡΠΎΠ²Π° ΠΏΡΠΈΡΡΡΡΠ²Π°Ρ Π² Π±Π°Π·Π°ΡΠ° Π΄Π°Π½Π½ΠΈ Sonatype, ΠΎΠ±ΠΎΠ·Π½Π°ΡΠ΅Π½Π° Ρ SONATYPE. Π‘ΠΏΠΎΡΠ΅Π΄ Π΄ΠΎΠΊΠ»Π°Π΄Π°
Π ΡΠ΅Π·ΡΠ»ΡΠ°Ρ Π½Π° ΡΠΎΠ²Π° ΠΏΡΠΎΠ²Π΅ΡΠΊΠ°ΡΠ° Π½Π° Π·Π°Π²ΠΈΡΠΈΠΌΠΎΡΡΡΠ° Π³Π΅Π½Π΅ΡΠΈΡΠ° ΠΌΠ½ΠΎΠ³ΠΎ ΡΡΠΌ, ΠΏΡΠΎΠΏΡΡΠΊΠ°ΠΉΠΊΠΈ Π½ΡΠΊΠΎΠΈ ΠΎΡ ΡΡΠ·Π²ΠΈΠΌΠΈΡΠ΅ ΠΊΠΎΠΌΠΏΠΎΠ½Π΅Π½ΡΠΈ. Dependency Track ΠΏΡΠΎΠΈΠ·Π²Π΅ΠΆΠ΄Π° ΠΏΠΎ-ΠΌΠ°Π»ΠΊΠΎ ΡΡΠΌ ΠΈ ΠΎΡΠΊΡΠΈΠ²Π° Π³ΠΎΠ»ΡΠΌ Π±ΡΠΎΠΉ ΠΊΠΎΠΌΠΏΠΎΠ½Π΅Π½ΡΠΈ, ΠΊΠΎΠ΅ΡΠΎ Π½Π΅ Π½Π°ΡΠ°Π½ΡΠ²Π° Π²ΠΈΠ·ΡΠ°Π»Π½ΠΎ ΠΎΡΠΈΡΠ΅ Π² ΡΠ΅Π± ΠΈΠ½ΡΠ΅ΡΡΠ΅ΠΉΡΠ°.
ΠΡΠΏΡΠ΅ΠΊΠΈ ΡΠΎΠ²Π° ΠΏΡΠ°ΠΊΡΠΈΠΊΠ°ΡΠ° ΠΏΠΎΠΊΠ°Π·Π²Π°, ΡΠ΅ ΠΈΠΌΠ΅Π½Π½ΠΎ ΠΎΡΠ²ΠΎΡΠ΅Π½ΠΈΡΡ ΠΊΠΎΠ΄ ΡΡΡΠ±Π²Π° Π΄Π° ΡΡΠ°Π½Π΅ ΠΏΡΡΠ²ΠΈΡΠ΅ ΡΡΡΠΏΠΊΠΈ ΠΊΡΠΌ Π·ΡΡΠ» DevSecOps. ΠΡΡΠ²ΠΎΡΠΎ Π½Π΅ΡΠΎ, Π·Π° ΠΊΠΎΠ΅ΡΠΎ ΡΡΡΠ±Π²Π° Π΄Π° ΠΏΠΎΠΌΠΈΡΠ»ΠΈΡΠ΅, Π·Π° Π΄Π° Π²Π³ΡΠ°Π΄ΠΈΡΠ΅ SCA Π² ΡΠ°Π·ΡΠ°Π±ΠΎΡΠΊΠ°ΡΠ°, ΡΠ° ΠΏΡΠΎΡΠ΅ΡΠΈΡΠ΅, Π° ΠΈΠΌΠ΅Π½Π½ΠΎ Π΄Π° ΠΎΠ±ΠΌΠΈΡΠ»ΠΈΡΠ΅ Ρ ΡΡΠΊΠΎΠ²ΠΎΠ΄ΡΡΠ²ΠΎΡΠΎ ΠΈ ΡΠ²ΡΡΠ·Π°Π½ΠΈΡΠ΅ ΠΎΡΠ΄Π΅Π»ΠΈ ΠΊΠ°ΠΊ ΡΡΡΠ±Π²Π° Π΄Π° ΠΈΠ·Π³Π»Π΅ΠΆΠ΄Π°Ρ ΠΈΠ΄Π΅Π°Π»Π½ΠΈΡΠ΅ ΠΏΡΠΎΡΠ΅ΡΠΈ Π²ΡΠ² Π²Π°ΡΠ°ΡΠ° ΠΎΡΠ³Π°Π½ΠΈΠ·Π°ΡΠΈΡ. ΠΠΎΠΆΠ΅ Π΄Π° ΡΠ΅ ΠΎΠΊΠ°ΠΆΠ΅, ΡΠ΅ Π·Π° Π²Π°ΡΠ°ΡΠ° ΠΎΡΠ³Π°Π½ΠΈΠ·Π°ΡΠΈΡ ΠΏΡΡΠ²ΠΎΠ½Π°ΡΠ°Π»Π½ΠΎ Dependency Check ΠΈΠ»ΠΈ Dependency Track ΡΠ΅ ΠΏΠΎΠΊΡΠΈΡΡ Π²ΡΠΈΡΠΊΠΈ Π±ΠΈΠ·Π½Π΅Ρ Π½ΡΠΆΠ΄ΠΈ, Π° Enterprise ΡΠ΅ΡΠ΅Π½ΠΈΡΡΠ° ΡΠ΅ Π±ΡΠ΄Π°Ρ Π»ΠΎΠ³ΠΈΡΠ½ΠΎ ΠΏΡΠΎΠ΄ΡΠ»ΠΆΠ΅Π½ΠΈΠ΅ ΠΏΠΎΡΠ°Π΄ΠΈ Π½Π°ΡΠ°ΡΡΠ²Π°ΡΠ°ΡΠ° ΡΠ»ΠΎΠΆΠ½ΠΎΡΡ Π½Π° ΡΠ°Π·ΡΠ°Π±ΠΎΡΠ²Π°Π½ΠΈΡΠ΅ ΠΏΡΠΈΠ»ΠΎΠΆΠ΅Π½ΠΈΡ.
ΠΡΠΈΠ»ΠΎΠΆΠ΅Π½ΠΈΠ΅ A. Π Π΅Π·ΡΠ»ΡΠ°ΡΠΈ Π·Π° ΠΊΠΎΠΌΠΏΠΎΠ½Π΅Π½ΡΠΈ
Π‘ΠΈΠΌΠ²ΠΎΠ»ΠΈ:
- High - Π²ΠΈΡΠΎΠΊΠΎ ΠΈ ΠΊΡΠΈΡΠΈΡΠ½ΠΎ Π½ΠΈΠ²ΠΎ Π½Π° ΡΡΠ·Π²ΠΈΠΌΠΎΡΡΠΈ Π² ΠΊΠΎΠΌΠΏΠΎΠ½Π΅Π½ΡΠ°
- Π‘ΡΠ΅Π΄Π½Π° β Π‘ΡΠ΅Π΄Π½ΠΎ ΡΠ΅ΠΆΠΊΠΈ ΡΡΠ·Π²ΠΈΠΌΠΎΡΡΠΈ Π² ΠΊΠΎΠΌΠΏΠΎΠ½Π΅Π½ΡΠ°
- TRUE - ΠΡΡΠΈΠ½ΡΠΊΠΈ ΠΏΠΎΠ»ΠΎΠΆΠΈΡΠ΅Π»Π΅Π½ ΠΏΡΠΎΠ±Π»Π΅ΠΌ
- FALSE - Π€Π°Π»ΡΠΈΠ² ΠΏΠΎΠ»ΠΎΠΆΠΈΡΠ΅Π»Π΅Π½ ΠΏΡΠΎΠ±Π»Π΅ΠΌ
ΠΊΠΎΠΌΠΏΠΎΠ½Π΅Π½Ρ
Nexus IQ
ΠΡΠΎΠ²Π΅ΡΠΊΠ° Π½Π° Π·Π°Π²ΠΈΡΠΈΠΌΠΎΡΡΡΠ°
Π‘Π»Π΅Π΄Π° Π½Π° Π·Π°Π²ΠΈΡΠΈΠΌΠΎΡΡΡΠ°
Π Π΅Π·ΡΠ»ΡΠ°Ρ
dom4j:1.6.1
ΠΠΈΡΠΎΠΊΠΎ
ΠΠΈΡΠΎΠΊΠΎ
ΠΠΈΡΠΎΠΊΠΎ
TRUE
log4j-ΡΠ΄ΡΠΎ: 2.3
ΠΠΈΡΠΎΠΊΠΎ
ΠΠΈΡΠΎΠΊΠΎ
ΠΠΈΡΠΎΠΊΠΎ
TRUE
log4j: 1.2.14
ΠΠΈΡΠΎΠΊΠΎ
ΠΠΈΡΠΎΠΊΠΎ
-
TRUE
ΠΎΠ±ΡΠΈ-ΠΊΠΎΠ»Π΅ΠΊΡΠΈΠΈ:3.1
ΠΠΈΡΠΎΠΊΠΎ
ΠΠΈΡΠΎΠΊΠΎ
ΠΠΈΡΠΎΠΊΠΎ
TRUE
commons-fileupload:1.3.2
ΠΠΈΡΠΎΠΊΠΎ
ΠΠΈΡΠΎΠΊΠΎ
ΠΠΈΡΠΎΠΊΠΎ
TRUE
commons-beanutils:1.7.0
ΠΠΈΡΠΎΠΊΠΎ
ΠΠΈΡΠΎΠΊΠΎ
ΠΠΈΡΠΎΠΊΠΎ
TRUE
Commons-codec:1:10
Π‘ΡΠ΅Π΄Π΅Π½
-
-
TRUE
mysql-ΠΊΠΎΠ½Π΅ΠΊΡΠΎΡ-java:5.1.42
ΠΠΈΡΠΎΠΊΠΎ
ΠΠΈΡΠΎΠΊΠΎ
ΠΠΈΡΠΎΠΊΠΎ
TRUE
ΠΏΡΠΎΠ»Π΅ΡΠ΅Π½ ΠΈΠ·ΡΠ°Π·:3.0.5
ΠΠΈΡΠΎΠΊΠΎ
ΠΊΠΎΠΌΠΏΠΎΠ½Π΅Π½Ρ Π½Π΅ Π΅ Π½Π°ΠΌΠ΅ΡΠ΅Π½
TRUE
spring-web:3.0.5
ΠΠΈΡΠΎΠΊΠΎ
ΠΊΠΎΠΌΠΏΠΎΠ½Π΅Π½Ρ Π½Π΅ Π΅ Π½Π°ΠΌΠ΅ΡΠ΅Π½
ΠΠΈΡΠΎΠΊΠΎ
TRUE
ΠΏΡΠΎΠ»Π΅ΡΠ΅Π½ ΠΊΠΎΠ½ΡΠ΅ΠΊΡΡ: 3.0.5
Π‘ΡΠ΅Π΄Π΅Π½
ΠΊΠΎΠΌΠΏΠΎΠ½Π΅Π½Ρ Π½Π΅ Π΅ Π½Π°ΠΌΠ΅ΡΠ΅Π½
-
TRUE
ΠΏΡΡΠΆΠΈΠ½Π½ΠΎ ΡΠ΄ΡΠΎ:3.0.5
Π‘ΡΠ΅Π΄Π΅Π½
ΠΠΈΡΠΎΠΊΠΎ
ΠΠΈΡΠΎΠΊΠΎ
TRUE
struts2-config-browser-plugin:2.3.30
Π‘ΡΠ΅Π΄Π΅Π½
-
-
TRUE
spring-tx:3.0.5
-
ΠΠΈΡΠΎΠΊΠΎ
-
FALSE
ΠΏΠΎΠ΄ΠΏΠΎΡΠΈ-ΡΠ΄ΡΠΎ:1.3.8
ΠΠΈΡΠΎΠΊΠΎ
ΠΠΈΡΠΎΠΊΠΎ
ΠΠΈΡΠΎΠΊΠΎ
TRUE
xwork-core: 2.3.30
ΠΠΈΡΠΎΠΊΠΎ
-
-
TRUE
ΠΏΠΎΠ΄ΠΏΠΎΡΠΈ2-ΡΠ΄ΡΠΎ: 2.3.30
ΠΠΈΡΠΎΠΊΠΎ
ΠΠΈΡΠΎΠΊΠΎ
ΠΠΈΡΠΎΠΊΠΎ
TRUE
ΠΏΠΎΠ΄ΠΏΠΎΡΠΈ-taglib:1.3.8
-
ΠΠΈΡΠΎΠΊΠΎ
-
FALSE
ΠΏΠΎΠ΄ΠΏΠΎΡΠΈ-ΠΊΠ΅ΡΠ΅ΠΌΠΈΠ΄ΠΈ-1.3.8
-
ΠΠΈΡΠΎΠΊΠΎ
-
FALSE
ΠΡΠΈΠ»ΠΎΠΆΠ΅Π½ΠΈΠ΅ B. Π Π΅Π·ΡΠ»ΡΠ°ΡΠΈ ΠΎΡ ΡΡΠ·Π²ΠΈΠΌΠΎΡΡΡΠ°
Π‘ΠΈΠΌΠ²ΠΎΠ»ΠΈ:
- High - Π²ΠΈΡΠΎΠΊΠΎ ΠΈ ΠΊΡΠΈΡΠΈΡΠ½ΠΎ Π½ΠΈΠ²ΠΎ Π½Π° ΡΡΠ·Π²ΠΈΠΌΠΎΡΡΠΈ Π² ΠΊΠΎΠΌΠΏΠΎΠ½Π΅Π½ΡΠ°
- Π‘ΡΠ΅Π΄Π½Π° β Π‘ΡΠ΅Π΄Π½ΠΎ ΡΠ΅ΠΆΠΊΠΈ ΡΡΠ·Π²ΠΈΠΌΠΎΡΡΠΈ Π² ΠΊΠΎΠΌΠΏΠΎΠ½Π΅Π½ΡΠ°
- TRUE - ΠΡΡΠΈΠ½ΡΠΊΠΈ ΠΏΠΎΠ»ΠΎΠΆΠΈΡΠ΅Π»Π΅Π½ ΠΏΡΠΎΠ±Π»Π΅ΠΌ
- FALSE - Π€Π°Π»ΡΠΈΠ² ΠΏΠΎΠ»ΠΎΠΆΠΈΡΠ΅Π»Π΅Π½ ΠΏΡΠΎΠ±Π»Π΅ΠΌ
ΠΊΠΎΠΌΠΏΠΎΠ½Π΅Π½Ρ
Nexus IQ
ΠΡΠΎΠ²Π΅ΡΠΊΠ° Π½Π° Π·Π°Π²ΠΈΡΠΈΠΌΠΎΡΡΡΠ°
Π‘Π»Π΅Π΄Π° Π½Π° Π·Π°Π²ΠΈΡΠΈΠΌΠΎΡΡΡΠ°
Π‘ΡΡΠΎΠ²ΠΎΡΡ
Π Π΅Π·ΡΠ»ΡΠ°Ρ
ΠΠΎΠΌΠ΅Π½ΡΠ°Ρ
dom4j:1.6.1
CVE-2018 1000632-
CVE-2018 1000632-
CVE-2018 1000632-
ΠΠΈΡΠΎΠΊΠΎ
TRUE
CVE-2020 10683-
CVE-2020 10683-
CVE-2020 10683-
ΠΠΈΡΠΎΠΊΠΎ
TRUE
log4j-ΡΠ΄ΡΠΎ: 2.3
CVE-2017 5645-
CVE-2017 5645-
CVE-2017 5645-
ΠΠΈΡΠΎΠΊΠΎ
TRUE
CVE-2020 9488-
CVE-2020 9488-
CVE-2020 9488-
Π½ΠΈΡΠΊΠΎ
TRUE
log4j: 1.2.14
CVE-2019 17571-
CVE-2019 17571-
-
ΠΠΈΡΠΎΠΊΠΎ
TRUE
-
CVE-2020 9488-
-
Π½ΠΈΡΠΊΠΎ
TRUE
SONATYPE-2010-0053
-
-
ΠΠΈΡΠΎΠΊΠΎ
TRUE
ΠΎΠ±ΡΠΈ-ΠΊΠΎΠ»Π΅ΠΊΡΠΈΠΈ:3.1
-
CVE-2015 6420-
CVE-2015 6420-
ΠΠΈΡΠΎΠΊΠΎ
FALSE
ΠΡΠ±Π»ΠΈΠΊΠ°ΡΠΈ RCE(OSSINDEX)
-
CVE-2017 15708-
CVE-2017 15708-
ΠΠΈΡΠΎΠΊΠΎ
FALSE
ΠΡΠ±Π»ΠΈΠΊΠ°ΡΠΈ RCE(OSSINDEX)
SONATYPE-2015-0002
RCE (OSSINDEX)
RCE(OSSINDEX)
ΠΠΈΡΠΎΠΊΠΎ
TRUE
commons-fileupload:1.3.2
CVE-2016 1000031-
CVE-2016 1000031-
CVE-2016 1000031-
ΠΠΈΡΠΎΠΊΠΎ
TRUE
SONATYPE-2014-0173
-
-
Π‘ΡΠ΅Π΄Π΅Π½
TRUE
commons-beanutils:1.7.0
CVE-2014 0114-
CVE-2014 0114-
CVE-2014 0114-
ΠΠΈΡΠΎΠΊΠΎ
TRUE
-
CVE-2019 10086-
CVE-2019 10086-
ΠΠΈΡΠΎΠΊΠΎ
FALSE
Π£ΡΠ·Π²ΠΈΠΌΠΎΡΡΡΠ° Π΅ ΠΏΡΠΈΠ»ΠΎΠΆΠΈΠΌΠ° ΡΠ°ΠΌΠΎ Π·Π° Π²Π΅ΡΡΠΈΠΈ 1.9.2+
Commons-codec:1:10
SONATYPE-2012-0050
-
-
Π‘ΡΠ΅Π΄Π΅Π½
TRUE
mysql-ΠΊΠΎΠ½Π΅ΠΊΡΠΎΡ-java:5.1.42
CVE-2018 3258-
CVE-2018 3258-
CVE-2018 3258-
ΠΠΈΡΠΎΠΊΠΎ
TRUE
CVE-2019 2692-
CVE-2019 2692-
-
Π‘ΡΠ΅Π΄Π΅Π½
TRUE
-
CVE-2020 2875-
-
Π‘ΡΠ΅Π΄Π΅Π½
FALSE
Π‘ΡΡΠ°ΡΠ° ΡΡΠ·Π²ΠΈΠΌΠΎΡΡ ΠΊΠ°ΡΠΎ CVE-2019-2692, Π½ΠΎ Ρ Π΄ΠΎΠ±Π°Π²ΠΊΠ°ΡΠ° βΠ°ΡΠ°ΠΊΠΈΡΠ΅ ΠΌΠΎΠ³Π°Ρ Π·Π½Π°ΡΠΈΡΠ΅Π»Π½ΠΎ Π΄Π° ΠΏΠΎΠ²Π»ΠΈΡΡΡ Π½Π° Π΄ΠΎΠΏΡΠ»Π½ΠΈΡΠ΅Π»Π½ΠΈ ΠΏΡΠΎΠ΄ΡΠΊΡΠΈβ
-
CVE-2017 15945-
-
ΠΠΈΡΠΎΠΊΠΎ
FALSE
ΠΠ΅ ΡΠ΅ ΠΎΡΠ½Π°ΡΡ Π·Π° mysql-connector-java
-
CVE-2020 2933-
-
Π½ΠΈΡΠΊΠΎ
FALSE
ΠΡΠ±Π»ΠΈΡΠ°Π½Π΅ Π½Π° CVE-2020-2934
CVE-2020 2934-
CVE-2020 2934-
-
Π‘ΡΠ΅Π΄Π΅Π½
TRUE
ΠΏΡΠΎΠ»Π΅ΡΠ΅Π½ ΠΈΠ·ΡΠ°Π·:3.0.5
CVE-2018 1270-
ΠΊΠΎΠΌΠΏΠΎΠ½Π΅Π½Ρ Π½Π΅ Π΅ Π½Π°ΠΌΠ΅ΡΠ΅Π½
-
ΠΠΈΡΠΎΠΊΠΎ
TRUE
CVE-2018 1257-
-
-
Π‘ΡΠ΅Π΄Π΅Π½
TRUE
spring-web:3.0.5
CVE-2016 1000027-
ΠΊΠΎΠΌΠΏΠΎΠ½Π΅Π½Ρ Π½Π΅ Π΅ Π½Π°ΠΌΠ΅ΡΠ΅Π½
-
ΠΠΈΡΠΎΠΊΠΎ
TRUE
CVE-2014 0225-
-
CVE-2014 0225-
ΠΠΈΡΠΎΠΊΠΎ
TRUE
CVE-2011 2730-
-
-
ΠΠΈΡΠΎΠΊΠΎ
TRUE
-
-
CVE-2013 4152-
Π‘ΡΠ΅Π΄Π΅Π½
TRUE
CVE-2018 1272-
-
-
ΠΠΈΡΠΎΠΊΠΎ
TRUE
CVE-2020 5398-
-
-
ΠΠΈΡΠΎΠΊΠΎ
TRUE
ΠΡΠΈΠΌΠ΅Ρ Π² ΠΏΠΎΠ»Π·Π° Π½Π° IQ: βΠΠΊΠΈΠΏΡΡ Π·Π° ΠΈΠ·ΡΠ»Π΅Π΄Π²Π°Π½Π΅ Π½Π° ΡΠΈΠ³ΡΡΠ½ΠΎΡΡΡΠ° Π½Π° Sonatype ΠΎΡΠΊΡΠΈ, ΡΠ΅ ΡΠ°Π·ΠΈ ΡΡΠ·Π²ΠΈΠΌΠΎΡΡ Π΅ Π²ΡΠ²Π΅Π΄Π΅Π½Π° Π²ΡΠ² Π²Π΅ΡΡΠΈΡ 3.0.2.RELEASE, Π° Π½Π΅ 5.0.x, ΠΊΠ°ΠΊΡΠΎ Π΅ ΠΏΠΎΡΠΎΡΠ΅Π½ΠΎ Π² ΠΏΡΠ΅ΠΏΠΎΡΡΠΊΠ°ΡΠ°.β
CVE-2013 6429-
-
-
Π‘ΡΠ΅Π΄Π΅Π½
TRUE
CVE-2014 0054-
-
CVE-2014 0054-
Π‘ΡΠ΅Π΄Π΅Π½
TRUE
CVE-2013 6430-
-
-
Π‘ΡΠ΅Π΄Π΅Π½
TRUE
ΠΏΡΠΎΠ»Π΅ΡΠ΅Π½ ΠΊΠΎΠ½ΡΠ΅ΠΊΡΡ: 3.0.5
CVE-2011 2894-
ΠΊΠΎΠΌΠΏΠΎΠ½Π΅Π½Ρ Π½Π΅ Π΅ Π½Π°ΠΌΠ΅ΡΠ΅Π½
-
Π‘ΡΠ΅Π΄Π΅Π½
TRUE
ΠΏΡΡΠΆΠΈΠ½Π½ΠΎ ΡΠ΄ΡΠΎ:3.0.5
-
CVE-2011 2730-
CVE-2011 2730-
ΠΠΈΡΠΎΠΊΠΎ
TRUE
CVE-2011 2894-
CVE-2011 2894-
CVE-2011 2894-
Π‘ΡΠ΅Π΄Π΅Π½
TRUE
-
-
CVE-2013 4152-
Π‘ΡΠ΅Π΄Π΅Π½
FALSE
ΠΡΠ±Π»ΠΈΠΊΠ°Ρ Π½Π° ΡΡΡΠ°ΡΠ° ΡΡΠ·Π²ΠΈΠΌΠΎΡΡ Π² spring-web
-
CVE-2013 4152-
-
Π‘ΡΠ΅Π΄Π΅Π½
FALSE
Π£ΡΠ·Π²ΠΈΠΌΠΎΡΡΡΠ° Π΅ ΡΠ²ΡΡΠ·Π°Π½Π° Ρ ΠΊΠΎΠΌΠΏΠΎΠ½Π΅Π½ΡΠ° spring-web
-
CVE-2013 6429-
CVE-2013 6429-
Π‘ΡΠ΅Π΄Π΅Π½
FALSE
Π£ΡΠ·Π²ΠΈΠΌΠΎΡΡΡΠ° Π΅ ΡΠ²ΡΡΠ·Π°Π½Π° Ρ ΠΊΠΎΠΌΠΏΠΎΠ½Π΅Π½ΡΠ° spring-web
-
CVE-2013 6430-
-
Π‘ΡΠ΅Π΄Π΅Π½
FALSE
Π£ΡΠ·Π²ΠΈΠΌΠΎΡΡΡΠ° Π΅ ΡΠ²ΡΡΠ·Π°Π½Π° Ρ ΠΊΠΎΠΌΠΏΠΎΠ½Π΅Π½ΡΠ° spring-web
-
CVE-2013 7315-
CVE-2013 7315-
Π‘ΡΠ΅Π΄Π΅Π½
FALSE
Π ΠΠΠΠΠΠ―ΠΠ ΠΎΡ CVE-2013-4152. + Π£ΡΠ·Π²ΠΈΠΌΠΎΡΡΡΠ° Π΅ ΡΠ²ΡΡΠ·Π°Π½Π° Ρ ΠΊΠΎΠΌΠΏΠΎΠ½Π΅Π½ΡΠ° spring-web
-
CVE-2014 0054-
CVE-2014 0054-
Π‘ΡΠ΅Π΄Π΅Π½
FALSE
Π£ΡΠ·Π²ΠΈΠΌΠΎΡΡΡΠ° Π΅ ΡΠ²ΡΡΠ·Π°Π½Π° Ρ ΠΊΠΎΠΌΠΏΠΎΠ½Π΅Π½ΡΠ° spring-web
-
CVE-2014 0225-
-
ΠΠΈΡΠΎΠΊΠΎ
FALSE
Π£ΡΠ·Π²ΠΈΠΌΠΎΡΡΡΠ° Π΅ ΡΠ²ΡΡΠ·Π°Π½Π° Ρ ΠΊΠΎΠΌΠΏΠΎΠ½Π΅Π½ΡΠ° spring-web
-
-
CVE-2014 0225-
ΠΠΈΡΠΎΠΊΠΎ
FALSE
ΠΡΠ±Π»ΠΈΠΊΠ°Ρ Π½Π° ΡΡΡΠ°ΡΠ° ΡΡΠ·Π²ΠΈΠΌΠΎΡΡ Π² spring-web
-
CVE-2014 1904-
CVE-2014 1904-
Π‘ΡΠ΅Π΄Π΅Π½
FALSE
Π£ΡΠ·Π²ΠΈΠΌΠΎΡΡΡΠ° Π΅ ΡΠ²ΡΡΠ·Π°Π½Π° Ρ ΠΊΠΎΠΌΠΏΠΎΠ½Π΅Π½ΡΠ° spring-web-mvc
-
CVE-2014 3625-
CVE-2014 3625-
Π‘ΡΠ΅Π΄Π΅Π½
FALSE
Π£ΡΠ·Π²ΠΈΠΌΠΎΡΡΡΠ° Π΅ ΡΠ²ΡΡΠ·Π°Π½Π° Ρ ΠΊΠΎΠΌΠΏΠΎΠ½Π΅Π½ΡΠ° spring-web-mvc
-
CVE-2016 9878-
CVE-2016 9878-
ΠΠΈΡΠΎΠΊΠΎ
FALSE
Π£ΡΠ·Π²ΠΈΠΌΠΎΡΡΡΠ° Π΅ ΡΠ²ΡΡΠ·Π°Π½Π° Ρ ΠΊΠΎΠΌΠΏΠΎΠ½Π΅Π½ΡΠ° spring-web-mvc
-
CVE-2018 1270-
CVE-2018 1270-
ΠΠΈΡΠΎΠΊΠΎ
FALSE
ΠΠ° ΠΏΡΠΎΠ»Π΅ΡΠ½ΠΎ ΠΈΠ·ΡΠ°Π·ΡΠ²Π°Π½Π΅ / ΠΏΡΠΎΠ»Π΅ΡΠ½ΠΈ ΠΏΠΎΡΠ»Π°Π½ΠΈΡ
-
CVE-2018 1271-
CVE-2018 1271-
Π‘ΡΠ΅Π΄Π΅Π½
FALSE
Π£ΡΠ·Π²ΠΈΠΌΠΎΡΡΡΠ° Π΅ ΡΠ²ΡΡΠ·Π°Π½Π° Ρ ΠΊΠΎΠΌΠΏΠΎΠ½Π΅Π½ΡΠ° spring-web-mvc
-
CVE-2018 1272-
CVE-2018 1272-
ΠΠΈΡΠΎΠΊΠΎ
TRUE
CVE-2014 3578-
CVE-2014-3578(OSSINDEX)
CVE-2014 3578-
Π‘ΡΠ΅Π΄Π΅Π½
TRUE
SONATYPE-2015-0327
-
-
Π½ΠΈΡΠΊΠΎ
TRUE
struts2-config-browser-plugin:2.3.30
SONATYPE-2016-0104
-
-
Π‘ΡΠ΅Π΄Π΅Π½
TRUE
spring-tx:3.0.5
-
CVE-2011 2730-
-
ΠΠΈΡΠΎΠΊΠΎ
FALSE
Π£ΡΠ·Π²ΠΈΠΌΠΎΡΡΡΠ° Π½Π΅ ΡΠ΅ ΠΎΡΠ½Π°ΡΡ Π·Π° spring-tx
-
CVE-2011 2894-
-
ΠΠΈΡΠΎΠΊΠΎ
FALSE
Π£ΡΠ·Π²ΠΈΠΌΠΎΡΡΡΠ° Π½Π΅ ΡΠ΅ ΠΎΡΠ½Π°ΡΡ Π·Π° spring-tx
-
CVE-2013 4152-
-
Π‘ΡΠ΅Π΄Π΅Π½
FALSE
Π£ΡΠ·Π²ΠΈΠΌΠΎΡΡΡΠ° Π½Π΅ ΡΠ΅ ΠΎΡΠ½Π°ΡΡ Π·Π° spring-tx
-
CVE-2013 6429-
-
Π‘ΡΠ΅Π΄Π΅Π½
FALSE
Π£ΡΠ·Π²ΠΈΠΌΠΎΡΡΡΠ° Π½Π΅ ΡΠ΅ ΠΎΡΠ½Π°ΡΡ Π·Π° spring-tx
-
CVE-2013 6430-
-
Π‘ΡΠ΅Π΄Π΅Π½
FALSE
Π£ΡΠ·Π²ΠΈΠΌΠΎΡΡΡΠ° Π½Π΅ ΡΠ΅ ΠΎΡΠ½Π°ΡΡ Π·Π° spring-tx
-
CVE-2013 7315-
-
Π‘ΡΠ΅Π΄Π΅Π½
FALSE
Π£ΡΠ·Π²ΠΈΠΌΠΎΡΡΡΠ° Π½Π΅ ΡΠ΅ ΠΎΡΠ½Π°ΡΡ Π·Π° spring-tx
-
CVE-2014 0054-
-
Π‘ΡΠ΅Π΄Π΅Π½
FALSE
Π£ΡΠ·Π²ΠΈΠΌΠΎΡΡΡΠ° Π½Π΅ ΡΠ΅ ΠΎΡΠ½Π°ΡΡ Π·Π° spring-tx
-
CVE-2014 0225-
-
ΠΠΈΡΠΎΠΊΠΎ
FALSE
Π£ΡΠ·Π²ΠΈΠΌΠΎΡΡΡΠ° Π½Π΅ ΡΠ΅ ΠΎΡΠ½Π°ΡΡ Π·Π° spring-tx
-
CVE-2014 1904-
-
Π‘ΡΠ΅Π΄Π΅Π½
FALSE
Π£ΡΠ·Π²ΠΈΠΌΠΎΡΡΡΠ° Π½Π΅ ΡΠ΅ ΠΎΡΠ½Π°ΡΡ Π·Π° spring-tx
-
CVE-2014 3625-
-
Π‘ΡΠ΅Π΄Π΅Π½
FALSE
Π£ΡΠ·Π²ΠΈΠΌΠΎΡΡΡΠ° Π½Π΅ ΡΠ΅ ΠΎΡΠ½Π°ΡΡ Π·Π° spring-tx
-
CVE-2016 9878-
-
ΠΠΈΡΠΎΠΊΠΎ
FALSE
Π£ΡΠ·Π²ΠΈΠΌΠΎΡΡΡΠ° Π½Π΅ ΡΠ΅ ΠΎΡΠ½Π°ΡΡ Π·Π° spring-tx
-
CVE-2018 1270-
-
ΠΠΈΡΠΎΠΊΠΎ
FALSE
Π£ΡΠ·Π²ΠΈΠΌΠΎΡΡΡΠ° Π½Π΅ ΡΠ΅ ΠΎΡΠ½Π°ΡΡ Π·Π° spring-tx
-
CVE-2018 1271-
-
Π‘ΡΠ΅Π΄Π΅Π½
FALSE
Π£ΡΠ·Π²ΠΈΠΌΠΎΡΡΡΠ° Π½Π΅ ΡΠ΅ ΠΎΡΠ½Π°ΡΡ Π·Π° spring-tx
-
CVE-2018 1272-
-
Π‘ΡΠ΅Π΄Π΅Π½
FALSE
Π£ΡΠ·Π²ΠΈΠΌΠΎΡΡΡΠ° Π½Π΅ ΡΠ΅ ΠΎΡΠ½Π°ΡΡ Π·Π° spring-tx
ΠΏΠΎΠ΄ΠΏΠΎΡΠΈ-ΡΠ΄ΡΠΎ:1.3.8
-
CVE-2011-5057(OSSINDEX)
Π‘ΡΠ΅Π΄Π΅Π½
FASLE
Π£ΡΠ·Π²ΠΈΠΌΠΎΡΡ ΠΊΡΠΌ Struts 2
-
CVE-2012-0391(OSSINDEX)
CVE-2012 0391-
ΠΠΈΡΠΎΠΊΠΎ
FALSE
Π£ΡΠ·Π²ΠΈΠΌΠΎΡΡ ΠΊΡΠΌ Struts 2
-
CVE-2014-0094(OSSINDEX)
CVE-2014 0094-
Π‘ΡΠ΅Π΄Π΅Π½
FALSE
Π£ΡΠ·Π²ΠΈΠΌΠΎΡΡ ΠΊΡΠΌ Struts 2
-
CVE-2014-0113(OSSINDEX)
CVE-2014 0113-
ΠΠΈΡΠΎΠΊΠΎ
FALSE
Π£ΡΠ·Π²ΠΈΠΌΠΎΡΡ ΠΊΡΠΌ Struts 2
CVE-2016 1182-
3VE-2016-1182
-
ΠΠΈΡΠΎΠΊΠΎ
TRUE
-
-
CVE-2011 5057-
Π‘ΡΠ΅Π΄Π΅Π½
FALSE
Π£ΡΠ·Π²ΠΈΠΌΠΎΡΡ ΠΊΡΠΌ Struts 2
-
CVE-2012-0392(OSSINDEX)
CVE-2012 0392-
ΠΠΈΡΠΎΠΊΠΎ
FALSE
Π£ΡΠ·Π²ΠΈΠΌΠΎΡΡ ΠΊΡΠΌ Struts 2
-
CVE-2012-0393(OSSINDEX)
CVE-2012 0393-
Π‘ΡΠ΅Π΄Π΅Π½
FALSE
Π£ΡΠ·Π²ΠΈΠΌΠΎΡΡ ΠΊΡΠΌ Struts 2
CVE-2015 0899-
CVE-2015 0899-
-
ΠΠΈΡΠΎΠΊΠΎ
TRUE
-
CVE-2012 0394-
CVE-2012 0394-
Π‘ΡΠ΅Π΄Π΅Π½
FALSE
Π£ΡΠ·Π²ΠΈΠΌΠΎΡΡ ΠΊΡΠΌ Struts 2
-
CVE-2012-0838(OSSINDEX)
CVE-2012 0838-
ΠΠΈΡΠΎΠΊΠΎ
FALSE
Π£ΡΠ·Π²ΠΈΠΌΠΎΡΡ ΠΊΡΠΌ Struts 2
-
CVE-2013-1965(OSSINDEX)
CVE-2013 1965-
ΠΠΈΡΠΎΠΊΠΎ
FALSE
Π£ΡΠ·Π²ΠΈΠΌΠΎΡΡ ΠΊΡΠΌ Struts 2
-
CVE-2013-1966(OSSINDEX)
CVE-2013 1966-
ΠΠΈΡΠΎΠΊΠΎ
FASLE
Π£ΡΠ·Π²ΠΈΠΌΠΎΡΡ ΠΊΡΠΌ Struts 2
-
CVE-2013 2115-
CVE-2013 2115-
ΠΠΈΡΠΎΠΊΠΎ
FASLE
Π£ΡΠ·Π²ΠΈΠΌΠΎΡΡ ΠΊΡΠΌ Struts 2
-
CVE-2013-2134(OSSINDEX)
CVE-2013 2134-
ΠΠΈΡΠΎΠΊΠΎ
FASLE
Π£ΡΠ·Π²ΠΈΠΌΠΎΡΡ ΠΊΡΠΌ Struts 2
-
CVE-2013-2135(OSSINDEX)
CVE-2013 2135-
ΠΠΈΡΠΎΠΊΠΎ
FASLE
Π£ΡΠ·Π²ΠΈΠΌΠΎΡΡ ΠΊΡΠΌ Struts 2
CVE-2014 0114-
CVE-2014 0114-
-
ΠΠΈΡΠΎΠΊΠΎ
TRUE
-
CVE-2015 2992-
CVE-2015 2992-
Π‘ΡΠ΅Π΄Π΅Π½
FALSE
Π£ΡΠ·Π²ΠΈΠΌΠΎΡΡ ΠΊΡΠΌ Struts 2
-
CVE-2016-0785(OSSINDEX)
CVE-2016 0785-
ΠΠΈΡΠΎΠΊΠΎ
FALSE
Π£ΡΠ·Π²ΠΈΠΌΠΎΡΡ ΠΊΡΠΌ Struts 2
CVE-2016 1181-
CVE-2016 1181-
-
ΠΠΈΡΠΎΠΊΠΎ
TRUE
-
CVE-2016-4003(OSSINDEX)
CVE-2016 4003-
ΠΠΈΡΠΎΠΊΠΎ
FALSE
Π£ΡΠ·Π²ΠΈΠΌΠΎΡΡ ΠΊΡΠΌ Struts 2
xwork-core: 2.3.30
CVE-2017 9804-
-
-
ΠΠΈΡΠΎΠΊΠΎ
TRUE
SONATYPE-2017-0173
-
-
ΠΠΈΡΠΎΠΊΠΎ
TRUE
CVE-2017 7672-
-
-
ΠΠΈΡΠΎΠΊΠΎ
FALSE
ΠΠ²ΠΎΠΉΠ½ΠΎ Π΄ΠΎ CVE-2017-9804
SONATYPE-2016-0127
-
-
ΠΠΈΡΠΎΠΊΠΎ
TRUE
Π½ΠΎΡΠ°ΡΠΈ2-ΡΠ΄ΡΠΎ:2.3.30
-
CVE-2016 6795-
CVE-2016 6795-
ΠΠΈΡΠΎΠΊΠΎ
TRUE
-
CVE-2017 9787-
CVE-2017 9787-
ΠΠΈΡΠΎΠΊΠΎ
TRUE
-
CVE-2017 9791-
CVE-2017 9791-
ΠΠΈΡΠΎΠΊΠΎ
TRUE
-
CVE-2017 9793-
-
ΠΠΈΡΠΎΠΊΠΎ
FALSE
ΠΡΠ±Π»ΠΈΡΠ°Π½Π΅ Π½Π° CVE-2018-1327
-
CVE-2017 9804-
-
ΠΠΈΡΠΎΠΊΠΎ
TRUE
-
CVE-2017 9805-
CVE-2017 9805-
ΠΠΈΡΠΎΠΊΠΎ
TRUE
CVE-2016 4003-
-
-
Π‘ΡΠ΅Π΄Π΅Π½
FALSE
ΠΡΠ½Π°ΡΡ ΡΠ΅ Π·Π° Apache Struts 2.x Π΄ΠΎ 2.3.28, ΠΊΠΎΠ΅ΡΠΎ Π΅ Π²Π΅ΡΡΠΈΡ 2.3.30. ΠΡΠΏΡΠ΅ΠΊΠΈ ΡΠΎΠ²Π°, Π²ΡΠ· ΠΎΡΠ½ΠΎΠ²Π° Π½Π° ΠΎΠΏΠΈΡΠ°Π½ΠΈΠ΅ΡΠΎ, CVE ΡΠ°Π±ΠΎΡΠΈ Π½Π° Π²ΡΠΈΡΠΊΠΈ Π²Π΅ΡΡΠΈΠΈ Π½Π° Struts 2, ΡΡΠΈΠ³Π° Π΄Π° ΡΠ΅ ΠΈΠ·ΠΏΠΎΠ»Π·Π²Π° JRE 1.7 ΠΈ ΠΏΠΎ-Π½ΠΈΡΠΊΠ° Π²Π΅ΡΡΠΈΡ. Π―Π²Π½ΠΎ ΡΡΠΊ ΡΠ° ΡΠ΅ΡΠΈΠ»ΠΈ Π΄Π° Π½ΠΈ ΠΏΡΠ΅Π·Π°ΡΡΡΠ°Ρ
ΠΎΠ²Π°Ρ, Π½ΠΎ ΠΏΠΎ-ΡΠΊΠΎΡΠΎ ΠΈΠ·Π³Π»Π΅ΠΆΠ΄Π° ΠΠΠΠ―Π ΠΠ
-
CVE-2018 1327-
CVE-2018 1327-
ΠΠΈΡΠΎΠΊΠΎ
TRUE
CVE-2017 5638-
CVE-2017 5638-
CVE-2017 5638-
ΠΠΈΡΠΎΠΊΠΎ
TRUE
Π‘ΡΡΠ°ΡΠ° ΡΡΠ·Π²ΠΈΠΌΠΎΡΡ, ΠΈΠ·ΠΏΠΎΠ»Π·Π²Π°Π½Π° ΠΎΡ Π½Π°ΠΏΠ°Π΄Π°ΡΠ΅Π»ΠΈΡΠ΅ Π² Equifax ΠΏΡΠ΅Π· 2017 Π³
CVE-2017 12611-
CVE-2017 12611-
-
ΠΠΈΡΠΎΠΊΠΎ
TRUE
CVE-2018 11776-
CVE-2018 11776-
CVE-2018 11776-
ΠΠΈΡΠΎΠΊΠΎ
TRUE
ΠΏΠΎΠ΄ΠΏΠΎΡΠΈ-taglib:1.3.8
-
CVE-2012 0394-
-
Π‘ΡΠ΅Π΄Π΅Π½
FALSE
ΠΠ° ΠΏΠΎΠ΄ΠΏΠΎΡΠΈ2-ΡΠ΄ΡΠΎ
-
CVE-2013 2115-
-
ΠΠΈΡΠΎΠΊΠΎ
FALSE
ΠΠ° ΠΏΠΎΠ΄ΠΏΠΎΡΠΈ2-ΡΠ΄ΡΠΎ
-
CVE-2014 0114-
-
ΠΠΈΡΠΎΠΊΠΎ
FALSE
ΠΠ° Commons-beanutils
-
CVE-2015 0899-
-
ΠΠΈΡΠΎΠΊΠΎ
FALSE
ΠΠ΅ Π΅ ΡΠ²ΡΡΠ·Π°Π½ΠΎ Ρ taglib
-
CVE-2015 2992-
-
Π‘ΡΠ΅Π΄Π΅Π½
FALSE
Π‘Π²ΡΡΠ·Π°Π½ΠΈ ΡΡΡ struts2-core
-
CVE-2016 1181-
-
ΠΠΈΡΠΎΠΊΠΎ
FALSE
ΠΠ΅ Π΅ ΡΠ²ΡΡΠ·Π°Π½ΠΎ Ρ taglib
-
CVE-2016 1182-
-
ΠΠΈΡΠΎΠΊΠΎ
FALSE
ΠΠ΅ Π΅ ΡΠ²ΡΡΠ·Π°Π½ΠΎ Ρ taglib
ΠΏΠΎΠ΄ΠΏΠΎΡΠΈ-ΠΊΠ΅ΡΠ΅ΠΌΠΈΠ΄ΠΈ-1.3.8
-
CVE-2012 0394-
-
Π‘ΡΠ΅Π΄Π΅Π½
FALSE
ΠΠ° ΠΏΠΎΠ΄ΠΏΠΎΡΠΈ2-ΡΠ΄ΡΠΎ
-
CVE-2013 2115-
-
ΠΠΈΡΠΎΠΊΠΎ
FALSE
ΠΠ° ΠΏΠΎΠ΄ΠΏΠΎΡΠΈ2-ΡΠ΄ΡΠΎ
-
CVE-2014 0114-
-
ΠΠΈΡΠΎΠΊΠΎ
FALSE
ΠΠΎΠ΄ Commons-beanutils
-
CVE-2015 0899-
-
ΠΠΈΡΠΎΠΊΠΎ
FALSE
ΠΠ΅ ΡΠ΅ ΠΎΡΠ½Π°ΡΡ Π·Π° ΠΏΠ»ΠΎΡΠΊΠΈ
-
CVE-2015 2992-
-
Π‘ΡΠ΅Π΄Π΅Π½
FALSE
ΠΠ° ΠΏΠΎΠ΄ΠΏΠΎΡΠΈ2-ΡΠ΄ΡΠΎ
-
CVE-2016 1181-
-
ΠΠΈΡΠΎΠΊΠΎ
FALSE
ΠΠ΅ Π΅ ΡΠ²ΡΡΠ·Π°Π½ΠΎ Ρ taglib
-
CVE-2016 1182-
-
ΠΠΈΡΠΎΠΊΠΎ
FALSE
ΠΠ΅ Π΅ ΡΠ²ΡΡΠ·Π°Π½ΠΎ Ρ taglib
ΠΠ·ΡΠΎΡΠ½ΠΈΠΊ: www.habr.com