เชชเซเชฐเซ‹เชนเซ‹เชธเซเชŸเชฐ > ะ‘ะปะพะณ > เชตเชนเซ€เชตเชŸ > DevSecOps: เช•เชพเชฎเช—เซ€เชฐเซ€เชจเชพ เชธเชฟเชฆเซเชงเชพเช‚เชคเซ‹ เช…เชจเซ‡ SCA เชจเซ€ เชธเชฐเช–เชพเชฎเชฃเซ€. เชญเชพเช— เชเช•

DevSecOps: เช•เชพเชฎเช—เซ€เชฐเซ€เชจเชพ เชธเชฟเชฆเซเชงเชพเช‚เชคเซ‹ เช…เชจเซ‡ SCA เชจเซ€ เชธเชฐเช–เชพเชฎเชฃเซ€. เชญเชพเช— เชเช•

เชตเชฟเช•เชพเชธ เชชเซเชฐเช•เซเชฐเชฟเชฏเชพเชฎเชพเช‚ เชคเซƒเชคเซ€เชฏ-เชชเช•เซเชท เชธเซ‰เชซเซเชŸเชตเซ‡เชฐ เช˜เชŸเช•เซ‹ (เชธเซ‹เชซเซเชŸเชตเซ‡เชฐ เช•เชฎเซเชชเซ‹เชเชฟเชถเชจ เชเชจเชพเชฒเชฟเชธเชฟเชธ - SCA) เชจเชพ เชตเชฟเชถเซเชฒเซ‡เชทเชฃเชจเซเช‚ เชฎเชนเชคเซเชต เช“เชชเชจ เชธเซ‹เชฐเซเชธ เชฒเชพเช‡เชฌเซเชฐเซ‡เชฐเซ€เช“เชจเซ€ เชจเชฌเชณเชพเชˆเช“ เชชเชฐเชจเชพ เชตเชพเชฐเซเชทเชฟเช• เช…เชนเซ‡เชตเชพเชฒเซ‹เชจเชพ เชชเซเชฐเช•เชพเชถเชจ เชธเชพเชฅเซ‡ เชตเชงเซ€ เชฐเชนเซเชฏเซเช‚ เช›เซ‡, เชœเซ‡ Synopsys, Sonatype, Snyk เช…เชจเซ‡ White Source เชฆเซเชตเชพเชฐเชพ เชชเซเชฐเช•เชพเชถเชฟเชค เชฅเชพเชฏ เช›เซ‡. . เช…เชนเซ‡เชตเชพเชฒ เชฎเซเชœเชฌ เช“เชชเชจ เชธเซ‹เชฐเซเชธ เชธเซเชฐเช•เซเชทเชพ เชจเชฌเชณเชพเชˆเช“เชจเซเช‚ เชฐเชพเชœเซเชฏ 2020 2019 เชฎเชพเช‚ เช“เชณเช–เชพเชฏเซ‡เชฒ เช“เชชเชจ เชธเซ‹เชฐเซเชธ เชจเชฌเชณเชพเชˆเช“เชจเซ€ เชธเช‚เช–เซเชฏเชพเชฎเชพเช‚ เชชเชพเช›เชฒเชพ เชตเชฐเซเชทเชจเซ€ เชธเชฐเช–เชพเชฎเชฃเซ€เชฎเชพเช‚ เชฒเช—เชญเช— 1.5 เช—เชฃเซ‹ เชตเชงเชพเชฐเซ‹ เชฅเชฏเซ‹ เช›เซ‡, เชœเซเชฏเชพเชฐเซ‡ เช“เชชเชจ เชธเซ‹เชฐเซเชธ เช˜เชŸเช•เซ‹เชจเซ‹ เช‰เชชเชฏเซ‹เช— 60% เชฅเซ€ 80% เชชเซเชฐเซ‹เชœเซ‡เช•เซเชŸเซเชธ เชฆเซเชตเชพเชฐเชพ เช•เชฐเชตเชพเชฎเชพเช‚ เช†เชตเซ‡ เช›เซ‡. เชธเซเชตเชคเช‚เชคเซเชฐ เชงเซ‹เชฐเชฃเซ‡, SCA เชชเซเชฐเช•เซเชฐเชฟเชฏเชพเช“ เชชเชฐเชฟเชชเช•เซเชตเชคเชพเชจเชพ เชธเซ‚เชšเช• เชคเชฐเซ€เช•เซ‡ OWASP SAMM เช…เชจเซ‡ BSIMM เชจเซ€ เช…เชฒเช— เชชเซเชฐเชฅเชพ เช›เซ‡, เช…เชจเซ‡ 2020 เชจเชพ เชชเชนเซ‡เชฒเชพ เชญเชพเช—เชฎเชพเช‚, OWASP เช เชจเชตเซเช‚ OWASP เชธเซ‰เชซเซเชŸเชตเซ‡เชฐ เช•เชฎเซเชชเซ‹เชจเชจเซเชŸ เชตเซ‡เชฐเชฟเชซเชฟเช•เซ‡เชถเชจ เชธเซเชŸเชพเชจเซเชกเชฐเซเชก (SCVS) เชฌเชนเชพเชฐ เชชเชพเชกเซเชฏเซเช‚, เชœเซ‡ เชคเซเชฐเซ€เชœเซ€-เชจเซ€ เชšเช•เชพเชธเชฃเซ€ เชฎเชพเชŸเซ‡ เชถเซเชฐเซ‡เชทเซเช  เชชเซเชฐเชฅเชพเช“ เชชเซเชฐเชฆเชพเชจ เช•เชฐเซ‡ เช›เซ‡. เชธเชชเซเชฒเชพเชฏ เชšเซ‡เช‡เชจ BY เชฎเชพเช‚ เชชเชพเชฐเซเชŸเซ€เชจเชพ เช˜เชŸเช•เซ‹.

DevSecOps: เช•เชพเชฎเช—เซ€เชฐเซ€เชจเชพ เชธเชฟเชฆเซเชงเชพเช‚เชคเซ‹ เช…เชจเซ‡ SCA เชจเซ€ เชธเชฐเช–เชพเชฎเชฃเซ€. เชญเชพเช— เชเช•

เชธเซŒเชฅเซ€ เชฆเซƒเชทเซเชŸเชพเช‚เชคเชฐเซ‚เชช เช•เซ‡เชธเซ‹เชฎเชพเช‚เชจเซ‹ เชเช• เชฅเชฏเซเช‚ เชฎเซ‡ 2017 เชฎเชพเช‚ Equifax เชธเชพเชฅเซ‡. เช…เชœเชพเชฃเซเชฏเชพ เชนเซเชฎเชฒเชพเช–เซ‹เชฐเซ‹เช 143 เชฎเชฟเชฒเชฟเชฏเชจ เช…เชฎเซ‡เชฐเชฟเช•เชจเซ‹ เชตเชฟเชถเซ‡ เชฎเชพเชนเชฟเชคเซ€ เชฎเซ‡เชณเชตเซ€ เชนเชคเซ€, เชœเซ‡เชฎเชพเช‚ เชธเช‚เชชเซ‚เชฐเซเชฃ เชจเชพเชฎ, เชธเชฐเชจเชพเชฎเชพ, เชธเชพเชฎเชพเชœเชฟเช• เชธเซเชฐเช•เซเชทเชพ เชจเช‚เชฌเชฐเซ‹ เช…เชจเซ‡ เชกเซเชฐเชพเช‡เชตเชฟเช‚เช— เชฒเชพเชฏเชธเชจเซเชธเชจเซ‹ เชธเชฎเชพเชตเซ‡เชถ เชฅเชพเชฏ เช›เซ‡. 209 เช•เซ‡เชธเซ‹เชฎเชพเช‚, เชฆเชธเซเชคเชพเชตเซ‡เชœเซ‹เชฎเชพเช‚ เชชเซ€เชกเชฟเชคเซ‹เชจเชพ เชฌเซ‡เช‚เช• เช•เชพเชฐเซเชก เชตเชฟเชถเซ‡เชจเซ€ เชฎเชพเชนเชฟเชคเซ€ เชชเชฃ เชธเชพเชฎเซ‡เชฒ เชนเชคเซ€. Apache Struts 000 (CVE-2-2017) เชฎเชพเช‚ เช—เช‚เชญเซ€เชฐ เชจเชฌเชณเชพเชˆเชจเชพ เชถเซ‹เชทเชฃเชจเชพ เชชเชฐเชฟเชฃเชพเชฎเซ‡ เช† เชฒเซ€เช• เชฅเชฏเซเช‚ เชนเชคเซเช‚, เชœเซเชฏเชพเชฐเซ‡ เชซเชฟเช•เซเชธ เชฎเชพเชฐเซเชš 5638 เชฎเชพเช‚ เชชเชพเช›เซเช‚ เชฌเชนเชพเชฐ เชชเชพเชกเชตเชพเชฎเชพเช‚ เช†เชตเซเชฏเซเช‚ เชนเชคเซเช‚. เช•เช‚เชชเชจเซ€ เชชเชพเชธเซ‡ เช…เชชเชกเซ‡เชŸ เช‡เชจเซเชธเซเชŸเซ‹เชฒ เช•เชฐเชตเชพ เชฎเชพเชŸเซ‡ เชฌเซ‡ เชฎเชนเชฟเชจเชพเชจเซ‹ เชธเชฎเชฏ เชนเชคเซ‹, เชชเชฐเช‚เชคเซ เช•เซ‹เชˆเช เชคเซ‡เชจเซ€ เชชเชฐเซ‡เชถเชพเชจ เชจ เช•เชฐเซ€.

เช† เชฒเซ‡เช– เชตเชฟเชถเซเชฒเซ‡เชทเชฃ เชชเชฐเชฟเชฃเชพเชฎเซ‹เชจเซ€ เช—เซเชฃเชตเชคเซเชคเชพเชจเชพ เชฆเซƒเชทเซเชŸเชฟเช•เซ‹เชฃเชฅเซ€ SCA เช•เชฐเชตเชพ เชฎเชพเชŸเซ‡เชจเชพ เชธเชพเชงเชจเชจเซ‡ เชชเชธเช‚เชฆ เช•เชฐเชตเชพเชจเชพ เชฎเซเชฆเซเชฆเชพเชจเซ€ เชšเชฐเซเชšเชพ เช•เชฐเชถเซ‡. เชธเชพเชงเชจเซ‹เชจเซ€ เช•เชพเชฐเซเชฏเชพเชคเซเชฎเช• เชธเชฐเช–เชพเชฎเชฃเซ€ เชชเชฃ เชชเซ‚เชฐเซ€ เชชเชพเชกเชตเชพเชฎเชพเช‚ เช†เชตเชถเซ‡. CI/CD เชฎเชพเช‚ เชธเช‚เช•เชฒเชจ เช•เชฐเชตเชพเชจเซ€ เชชเซเชฐเช•เซเชฐเชฟเชฏเชพ เช…เชจเซ‡ เชเช•เซ€เช•เชฐเชฃ เช•เซเชทเชฎเชคเชพเช“เชจเซ‡ เช…เชจเซเช—เชพเชฎเซ€ เชชเซเชฐเช•เชพเชถเชจเซ‹ เชฎเชพเชŸเซ‡ เช›เซ‹เชกเซ€ เชฆเซ‡เชตเชพเชฎเชพเช‚ เช†เชตเชถเซ‡. OWASP เชฆเซเชตเชพเชฐเชพ เชธเชพเชงเชจเซ‹เชจเซ€ เชตเชฟเชถเชพเชณ เชถเซเชฐเซ‡เชฃเซ€ เชฐเชœเซ‚ เช•เชฐเชตเชพเชฎเชพเช‚ เช†เชตเซ€ เชนเชคเซ€ เชคเชฎเชพเชฐเซ€ เชตเซ‡เชฌเชธเชพเช‡เชŸ เชชเชฐ, เชชเชฐเช‚เชคเซ เชตเชฐเซเชคเชฎเชพเชจ เชธเชฎเซ€เช•เซเชทเชพเชฎเชพเช‚ เช…เชฎเซ‡ เชซเช•เซเชค เชธเซŒเชฅเซ€ เชตเชงเซ เชฒเซ‹เช•เชชเซเชฐเชฟเชฏ เช“เชชเชจ เชธเซ‹เชฐเซเชธ เชŸเซ‚เชฒ เชกเชฟเชชเซ‡เชจเซเชกเชจเซเชธเซ€ เชšเซ‡เช•, เชธเชนเซ‡เชœ เช“เช›เชพ เชœเชพเชฃเซ€เชคเชพ เช“เชชเชจ เชธเซ‹เชฐเซเชธ เชชเซเชฒเซ‡เชŸเชซเซ‹เชฐเซเชฎ เชกเชฟเชชเซ‡เชจเซเชกเชจเซเชธเซ€ เชŸเซเชฐเซ‡เช• เช…เชจเซ‡ เชเชจเซเชŸเชฐเชชเซเชฐเชพเช‡เช เชธเซ‹เชฒเซเชฏเซเชถเชจ Sonatype Nexus IQ เชชเชฐ เชœ เชธเซเชชเชฐเซเชถ เช•เชฐเซ€เชถเซเช‚. เช…เชฎเซ‡ เช เชชเชฃ เชธเชฎเชœเซ€เชถเซเช‚ เช•เซ‡ เช† เช‰เช•เซ‡เชฒเซ‹ เช•เซ‡เชตเซ€ เชฐเซ€เชคเซ‡ เช•เชพเชฐเซเชฏ เช•เชฐเซ‡ เช›เซ‡ เช…เชจเซ‡ เช–เซ‹เชŸเชพ เชนเช•เชพเชฐเชพเชคเซเชฎเช• เชฎเชพเชŸเซ‡ เชชเซเชฐเชพเชชเซเชค เชชเชฐเชฟเชฃเชพเชฎเซ‹เชจเซ€ เชคเซเชฒเชจเชพ เช•เชฐเซ€เชถเซเช‚.

DevSecOps: เช•เชพเชฎเช—เซ€เชฐเซ€เชจเชพ เชธเชฟเชฆเซเชงเชพเช‚เชคเซ‹ เช…เชจเซ‡ SCA เชจเซ€ เชธเชฐเช–เชพเชฎเชฃเซ€. เชญเชพเช— เชเช•

เชคเซ‡ เช•เซ‡เชตเซ€ เชฐเซ€เชคเซ‡ เช•เชพเชฎ เช•เชฐเซ‡ เช›เซ‡

เชจเชฟเชฐเซเชญเชฐเชคเชพ เชคเชชเชพเชธ เชเช• เชฏเซเชŸเชฟเชฒเชฟเชŸเซ€ (CLI, maven, jenkins module, ant) โ€‹โ€‹เช›เซ‡ เชœเซ‡ เชชเซเชฐเซ‹เชœเซ‡เช•เซเชŸ เชซเชพเชˆเชฒเซ‹เชจเซเช‚ เชตเชฟเชถเซเชฒเซ‡เชทเชฃ เช•เชฐเซ‡ เช›เซ‡, เชจเชฟเชฐเซเชญเชฐเชคเชพ (เชชเซ‡เช•เซ‡เชœเชจเซเช‚ เชจเชพเชฎ, groupid, เชธเซเชชเซ‡เชธเชฟเชซเชฟเช•เซ‡เชถเชจ เชถเซ€เชฐเซเชทเช•, เชธเช‚เชธเซเช•เชฐเชฃ...) เชตเชฟเชถเซ‡ เชฎเชพเชนเชฟเชคเซ€เชจเชพ เชŸเซเช•เชกเชพเช“ เชเช•เชคเซเชฐเชฟเชค เช•เชฐเซ‡ เช›เซ‡, CPE (เช•เซ‹เชฎเชจ เชชเซเชฒเซ‡เชŸเชซเซ‹เชฐเซเชฎ เชเชจเซเชฏเซเชฎเชฐเซ‡เชถเชจ) เชฒเชพเช‡เชจ เชฌเชจเชพเชตเซ‡ เช›เซ‡. , เชชเซ‡เช•เซ‡เชœ URL ( PURL) เช…เชจเซ‡ เชกเซ‡เชŸเชพเชฌเซ‡เชธเซ‡เชธ (NVD, Sonatype OSS Index, NPM Audit API...) เชฎเชพเช‚เชฅเซ€ CPE/PURL เชฎเชพเชŸเซ‡เชจเซ€ เชจเชฌเชณเชพเชˆเช“เชจเซ‡ เช“เชณเช–เซ‡ เช›เซ‡, เชœเซ‡ เชชเช›เซ€ เชคเซ‡ HTML, JSON, XML เชซเซ‹เชฐเซเชฎเซ‡เชŸเชฎเชพเช‚ เชตเชจ-เชŸเชพเช‡เชฎ เชฐเชฟเชชเซ‹เชฐเซเชŸ เชฌเชจเชพเชตเซ‡ เช›เซ‡...

เชšเชพเชฒเซ‹ เชœเซ‹เชˆเช เช•เซ‡ CPE เช•เซ‡เชตเซ‹ เชฆเซ‡เช–เชพเชฏ เช›เซ‡:

cpe:2.3:part:vendor:product:version:update:edition:language:sw_edition:target_sw:target_hw:other

  • เชญเชพเช—: เชธเช‚เช•เซ‡เชค เช•เซ‡ เช˜เชŸเช• เชเชชเซเชฒเชฟเช•เซ‡เชถเชจ (a), เช“เชชเชฐเซ‡เชŸเชฟเช‚เช— เชธเชฟเชธเซเชŸเชฎ (o), เชนเชพเชฐเซเชกเชตเซ‡เชฐ (h) (เชœเชฐเซ‚เชฐเซ€) เชธเชพเชฅเซ‡ เชธเช‚เชฌเช‚เชงเชฟเชค เช›เซ‡
  • เชตเชฟเช•เซเชฐเซ‡เชคเชพ: เช‰เชคเซเชชเชพเชฆเชจ เช‰เชคเซเชชเชพเชฆเช•เชจเซเช‚ เชจเชพเชฎ (เชœเชฐเซ‚เชฐเซ€)
  • เช‰เชคเซเชชเชพเชฆเชจ: เช‰เชคเซเชชเชพเชฆเชจเชจเซเช‚ เชจเชพเชฎ (เชœเชฐเซ‚เชฐเซ€)
  • เช†เชตเซƒเชคเซเชคเชฟ: เช˜เชŸเช• เชธเช‚เชธเซเช•เชฐเชฃ (เชชเซเชฐเชšเชฒเชฟเชค เช†เช‡เชŸเชฎ)
  • เชธเซเชงเชพเชฐเชพเชจเซ€ เชคเชพเชฐเซ€เช–: เชชเซ‡เช•เซ‡เชœ เช…เชชเชกเซ‡เชŸ
  • เช†เชตเซƒเชคเซเชคเชฟ: เชฒเซ‡เช—เชธเซ€ เชตเชฐเซเชเชจ (เชจเชพเชชเชธเช‚เชฆ เช•เชฐเซ‡เชฒ เช†เช‡เชŸเชฎ)
  • เชญเชพเชทเชพ: RFC-5646 เชฎเชพเช‚ เชตเซเชฏเชพเช–เซเชฏเชพเชฏเชฟเชค เชญเชพเชทเชพ
  • SW เช†เชตเซƒเชคเซเชคเชฟ: เชธเซ‰เชซเซเชŸเชตเซ‡เชฐ เชธเช‚เชธเซเช•เชฐเชฃ
  • เชฒเช•เซเชทเซเชฏ SW: เชธเซ‰เชซเซเชŸเชตเซ‡เชฐ เชตเชพเชคเชพเชตเชฐเชฃ เช•เซ‡ เชœเซ‡เชฎเชพเช‚ เช‰เชคเซเชชเชพเชฆเชจ เช•เชพเชฐเซเชฏ เช•เชฐเซ‡ เช›เซ‡
  • เชฒเช•เซเชทเซเชฏ HW: เชนเชพเชฐเซเชกเชตเซ‡เชฐ เชชเชฐเซเชฏเชพเชตเชฐเชฃ เช•เซ‡ เชœเซ‡เชฎเชพเช‚ เช‰เชคเซเชชเชพเชฆเชจ เช•เชพเชฐเซเชฏ เช•เชฐเซ‡ เช›เซ‡
  • เช…เชจเซเชฏ: เชธเชชเซเชฒเชพเชฏเชฐ เช…เชฅเชตเชพ เช‰เชคเซเชชเชพเชฆเชจ เชฎเชพเชนเชฟเชคเซ€

เช‰เชฆเชพเชนเชฐเชฃ CPE เช†เชจเชพ เชœเซ‡เชตเซ‹ เชฆเซ‡เช–เชพเชฏ เช›เซ‡:

cpe:2.3:a:pivotal_software:spring_framework:3.0.0:*:*:*:*:*:*:*

เชฒเชพเช‡เชจเชจเซ‹ เช…เชฐเซเชฅ เช เช›เซ‡ เช•เซ‡ CPE เชธเช‚เชธเซเช•เชฐเชฃ 2.3 เช‰เชคเซเชชเชพเชฆเช• เชคเชฐเชซเชฅเซ€ เชเชชเซเชฒเชฟเช•เซ‡เชถเชจ เช˜เชŸเช•เชจเซเช‚ เชตเชฐเซเชฃเชจ เช•เชฐเซ‡ เช›เซ‡ pivotal_software เชถเซ€เชฐเซเชทเช• เชธเชพเชฅเซ‡ spring_framework เชธเช‚เชธเซเช•เชฐเชฃ 3.0.0. เชœเซ‹ เช†เชชเชฃเซ‡ เชจเชฌเชณเชพเชˆ เช–เซ‹เชฒเซ€เช CVE-2014-0225 NVD เชฎเชพเช‚, เช†เชชเชฃเซ‡ เช† CPE เชจเซ‹ เช‰เชฒเซเชฒเซ‡เช– เชœเซ‹เชˆ เชถเช•เซ€เช เช›เซ€เช. เชชเซเชฐเชฅเชฎ เชธเชฎเชธเซเชฏเชพ เช•เซ‡ เชœเซ‡เชจเชพ เชชเชฐ เชคเชฎเชพเชฐเซ‡ เชคเชพเชคเซเช•เชพเชฒเชฟเช• เชงเซเชฏเชพเชจ เช†เชชเชตเซเช‚ เชœเซ‹เชˆเช เชคเซ‡ เช เช›เซ‡ เช•เซ‡ NVD เชฎเชพเช‚ CVE, CPE เช…เชจเซเชธเชพเชฐ, เชซเซเชฐเซ‡เชฎเชตเชฐเซเช•เชฎเชพเช‚ เชธเชฎเชธเซเชฏเชพเชจเซ€ เชœเชพเชฃ เช•เชฐเซ‡ เช›เซ‡, เช…เชจเซ‡ เชšเซ‹เช•เซเช•เชธ เช˜เชŸเช•เชฎเชพเช‚ เชจเชนเซ€เช‚. เชเชŸเชฒเซ‡ เช•เซ‡, เชœเซ‹ เชตเชฟเช•เชพเชธเช•เชฐเซเชคเชพเช“ เชซเซเชฐเซ‡เชฎเชตเชฐเซเช• เชธเชพเชฅเซ‡ เชšเซเชธเซเชคเชชเชฃเซ‡ เชœเซ‹เชกเชพเชฏเซ‡เชฒเชพ เชนเซ‹เชฏ, เช…เชจเซ‡ เช“เชณเช–เชพเชฏเซ‡เชฒเซ€ เชจเชฌเชณเชพเชˆ เชคเซ‡ เชฎเซ‹เชกเซเชฏเซเชฒเซ‹เชจเซ‡ เช…เชธเชฐ เช•เชฐเชคเซ€ เชจเชฅเซ€ เช•เซ‡ เชœเซ‡เชจเซ‹ เชตเชฟเช•เชพเชธเช•เชฐเซเชคเชพเช“ เช‰เชชเชฏเซ‹เช— เช•เชฐเซ‡ เช›เซ‡, เชคเซ‹ เชธเซเชฐเช•เซเชทเชพ เชจเชฟเชทเซเชฃเชพเชคเชจเซ‡ เชเช• เชฏเชพ เชฌเซ€เชœเซ€ เชฐเซ€เชคเซ‡ เช† CVE เชจเซ‡ เชกเชฟเชธเชเชธเซ‡เชฎเซเชฌเชฒ เช•เชฐเชตเซเช‚ เชชเชกเชถเซ‡ เช…เชจเซ‡ เช…เชชเชกเซ‡เชŸ เช•เชฐเชตเชพ เชตเชฟเชถเซ‡ เชตเชฟเชšเชพเชฐเชตเซเช‚ เชชเชกเชถเซ‡.

URL เชจเซ‹ เช‰เชชเชฏเซ‹เช— SCA เชŸเซ‚เชฒเซเชธ เชฆเซเชตเชพเชฐเชพ เชชเชฃ เชฅเชพเชฏ เช›เซ‡. เชชเซ‡เช•เซ‡เชœ URL เชซเซ‹เชฐเซเชฎเซ‡เชŸ เชจเซ€เชšเซ‡ เชฎเซเชœเชฌ เช›เซ‡:

scheme:type/namespace/name@version?qualifiers#subpath

  • เชฏเซ‹เชœเชจเชพ: เชนเช‚เชฎเซ‡เชถเชพ 'pkg' เชนเชถเซ‡ เชœเซ‡ เชฆเชฐเซเชถเชพเชตเซ‡ เช›เซ‡ เช•เซ‡ เช† เชเช• เชชเซ‡เช•เซ‡เชœ URL เช›เซ‡ (เชœเชฐเซ‚เชฐเซ€)
  • เชชเซเชฐเช•เชพเชฐ: เชชเซ‡เช•เซ‡เชœเชจเซ‹ "เชชเซเชฐเช•เชพเชฐ" เช…เชฅเชตเชพ เชชเซ‡เช•เซ‡เชœเชจเซ‹ "เชชเซเชฐเซ‹เชŸเซ‹เช•เซ‹เชฒ", เชœเซ‡เชฎ เช•เซ‡ เชฎเซ‡เชตเซ‡เชจ, เชเชจเชชเซ€เชเชฎ, เชจเซเชฏเซเช—เซ‡เชŸ, เชœเซ‡เชฎ, เชชเซ€เชชเซ€, เชตเช—เซ‡เชฐเซ‡. (เชœเชฐเซ‚เชฐเซ€)
  • เชจเซ‡เชฎเชธเซเชชเซ‡เชธ: เช•เซ‡เชŸเชฒเชพเช• เชจเชพเชฎ เช‰เชชเชธเชฐเซเช—, เชœเซ‡เชฎ เช•เซ‡ Maven เชœเซ‚เชฅ ID, Docker เช›เชฌเซ€ เชฎเชพเชฒเชฟเช•, GitHub เชตเชชเชฐเชพเชถเช•เชฐเซเชคเชพ เช…เชฅเชตเชพ เชธเช‚เชธเซเชฅเชพ. เชตเซˆเช•เชฒเซเชชเชฟเช• เช…เชจเซ‡ เชชเซเชฐเช•เชพเชฐ เชชเชฐ เช†เชงเชพเชฐ เชฐเชพเช–เซ‡ เช›เซ‡.
  • เชจเชพเชฎ: เชชเซ‡เช•เซ‡เชœ เชจเชพเชฎ (เชœเชฐเซ‚เชฐเซ€)
  • เช†เชตเซƒเชคเซเชคเชฟ: เชชเซ‡เช•เซ‡เชœ เชธเช‚เชธเซเช•เชฐเชฃ
  • เช•เซเชตเซ‹เชฒเชฟเชซเชพเชฏเชฐ: เชชเซ‡เช•เซ‡เชœ เชฎเชพเชŸเซ‡ เชตเชงเชพเชฐเชพเชจเซ‹ เชฒเชพเชฏเช•เชพเชค เชกเซ‡เชŸเชพ, เชœเซ‡เชฎ เช•เซ‡ OS, เช†เชฐเซเช•เชฟเชŸเซ‡เช•เซเชšเชฐ, เชตเชฟเชคเชฐเชฃ, เชตเช—เซ‡เชฐเซ‡. เชตเซˆเช•เชฒเซเชชเชฟเช• เช…เชจเซ‡ เชชเซเชฐเช•เชพเชฐ-เชตเชฟเชถเชฟเชทเซเชŸ.
  • เชธเชฌเชชเชพเชฅ: เชชเซ‡เช•เซ‡เชœ เชฐเซ‚เชŸเชจเซ‡ เชธเช‚เชฌเช‚เชงเชฟเชค เชชเซ‡เช•เซ‡เชœเชฎเชพเช‚ เชตเชงเชพเชฐเชพเชจเซ‹ เชชเชพเชฅ

เช‰เชฆเชพเชนเชฐเชฃ เชคเชฐเซ€เช•เซ‡:

pkg:golang/google.golang.org/genproto#googleapis/api/annotations
pkg:maven/org.apache.commons/[email protected]
pkg:pypi/[email protected]

เชจเชฟเชฐเซเชญเชฐเชคเชพ เชŸเซเชฐเซ‡เช• - เชเช• เช“เชจ-เชชเซเชฐเชฟเชฎเชพเชˆเชธ เชตเซ‡เชฌ เชชเซเชฒเซ‡เชŸเชซเซ‹เชฐเซเชฎ เช•เซ‡ เชœเซ‡ เชคเซˆเชฏเชพเชฐ เชฅเชฏเซ‡เชฒ เชฌเชฟเชฒ เช“เชซ เชฎเชŸเชฟเชฐเชฟเชฏเชฒเซเชธ (BOM) เชธเซเชตเซ€เช•เชพเชฐเซ‡ เช›เซ‡ เชšเช•เซเชฐเชตเชพเชค เชกเซ€เชเช•เซเชธ ะธ เชเชธเชชเซ€เชกเซ€เชเช•เซเชธ, เชเชŸเชฒเซ‡ เช•เซ‡, เชนเชพเชฒเชจเซ€ เช…เชตเชฒเช‚เชฌเชจ เชตเชฟเชถเซ‡ เชคเซˆเชฏเชพเชฐ เชธเซเชชเชทเซเชŸเซ€เช•เชฐเชฃเซ‹. เช† เชเช• XML เชซเชพเช‡เชฒ เช›เซ‡ เชœเซ‡ เชจเชฟเชฐเซเชญเชฐเชคเชพเช“เชจเซเช‚ เชตเชฐเซเชฃเชจ เช•เชฐเซ‡ เช›เซ‡ - เชจเชพเชฎ, เชนเซ‡เชถ, เชชเซ‡เช•เซ‡เชœ url, เชชเซเชฐเช•เชพเชถเช•, เชฒเชพเช‡เชธเชจเซเชธ. เช†เช—เชณ, เชกเชฟเชชเซ‡เชจเซเชกเชจเซเชธเซ€ เชŸเซเชฐเซ…เช• BOM เชจเซ‡ เชชเชพเชฐเซเชธ เช•เชฐเซ‡ เช›เซ‡, เชจเชฌเชณเชพเชˆ เชกเซ‡เชŸเชพเชฌเซ‡เช (NVD, Sonatype OSS Index...) เชฎเชพเช‚เชฅเซ€ เช“เชณเช–เชพเชฏเซ‡เชฒเซ€ เชจเชฟเชฐเซเชญเชฐเชคเชพเช“ เชฎเชพเชŸเซ‡ เช‰เชชเชฒเชฌเซเชง CVE เชจเซ‡ เชœเซเช เช›เซ‡, เชœเซ‡ เชชเช›เซ€ เชคเซ‡ เช—เซเชฐเชพเชซ เชฌเชจเชพเชตเซ‡ เช›เซ‡, เชฎเซ‡เชŸเซเชฐเชฟเช•เซเชธเชจเซ€ เช—เชฃเชคเชฐเซ€ เช•เชฐเซ‡ เช›เซ‡, เช˜เชŸเช•เซ‹เชจเซ€ เชจเชฌเชณเชพเชˆ เชธเซเชฅเชฟเชคเชฟ เชชเชฐ เชจเชฟเชฏเชฎเชฟเชคเชชเชฃเซ‡ เชกเซ‡เชŸเชพ เช…เชชเชกเซ‡เชŸ เช•เชฐเซ‡ เช›เซ‡. .

XML เชซเซ‹เชฐเซเชฎเซ‡เชŸเชฎเชพเช‚ BOM เช•เซ‡เชตเซเช‚ เชฆเซ‡เช–เชพเชฏ เช›เซ‡ เชคเซ‡เชจเซเช‚ เช‰เชฆเชพเชนเชฐเชฃ:

<?xml version="1.0" encoding="UTF-8"?>
<bom xmlns="http://cyclonedx.org/schema/bom/1.2" serialNumber="urn:uuid:3e671687-395b-41f5-a30f-a58921a69b79" version="1">
  <components>
    <component type="library">
      <publisher>Apache</publisher>
      <group>org.apache.tomcat</group>
      <name>tomcat-catalina</name>
      <version>9.0.14</version>
      <hashes>
        <hash alg="MD5">3942447fac867ae5cdb3229b658f4d48</hash>
        <hash alg="SHA-1">e6b1000b94e835ffd37f4c6dcbdad43f4b48a02a</hash>
        <hash alg="SHA-256">f498a8ff2dd007e29c2074f5e4b01a9a01775c3ff3aeaf6906ea503bc5791b7b</hash>
        <hash alg="SHA-512">e8f33e424f3f4ed6db76a482fde1a5298970e442c531729119e37991884bdffab4f9426b7ee11fccd074eeda0634d71697d6f88a460dce0ac8d627a29f7d1282</hash>
      </hashes>
      <licenses>
        <license>
          <id>Apache-2.0</id>
        </license>
      </licenses>
      <purl>pkg:maven/org.apache.tomcat/[email protected]</purl>
    </component>
      <!-- More components here -->
  </components>
</bom>

BOM เชจเซ‹ เช‰เชชเชฏเซ‹เช— เชกเชฟเชชเซ‡เชจเซเชกเชจเซเชธเซ€ เชŸเซเชฐเซ‡เช• เชฎเชพเชŸเซ‡เชจเชพ เช‡เชจเชชเซเชŸ เชชเซ‡เชฐเชพเชฎเซ€เชŸเชฐ เชคเชฐเซ€เช•เซ‡ เชœ เชจเชนเซ€เช‚, เชชเชฐเช‚เชคเซ เชธเชชเซเชฒเชพเชฏ เชšเซ‡เช‡เชจเชฎเชพเช‚ เชธเซ‹เชซเซเชŸเชตเซ‡เชฐ เช˜เชŸเช•เซ‹เชจเซ€ เช‡เชจเซเชตเซ‡เชจเซเชŸเชฐเซ€ เช•เชฐเชตเชพ เชฎเชพเชŸเซ‡ เชชเชฃ เชฅเชˆ เชถเช•เซ‡ เช›เซ‡, เช‰เชฆเชพเชนเชฐเชฃ เชคเชฐเซ€เช•เซ‡, เช—เซเชฐเชพเชนเช•เชจเซ‡ เชธเซ‹เชซเซเชŸเชตเซ‡เชฐ เชชเซเชฐเชฆเชพเชจ เช•เชฐเชตเชพ เชฎเชพเชŸเซ‡. 2014 เชฎเชพเช‚, เชฏเซเชจเชพเช‡เชŸเซ‡เชก เชธเซเชŸเซ‡เชŸเซเชธเชฎเชพเช‚ เชชเชฃ เชเช• เช•เชพเชฏเชฆเซ‹ เชชเซเชฐเชธเซเชคเชพเชตเชฟเชค เช•เชฐเชตเชพเชฎเชพเช‚ เช†เชตเซเชฏเซ‹ เชนเชคเซ‹ "เชธเชพเชฏเชฌเชฐ เชธเชชเซเชฒเชพเชฏ เชšเซ‡เช‡เชจ เชฎเซ‡เชจเซ‡เชœเชฎเซ‡เชจเซเชŸ เชเชจเซเชก เชŸเซเชฐเชพเชจเซเชธเชชเชฐเชจเซเชธเซ€ เชเช•เซเชŸ 2014", เชœเซ‡เชฎเชพเช‚ เชœเชฃเชพเชตเซเชฏเซเช‚ เชนเชคเซเช‚ เช•เซ‡ เชธเซ‹เชซเซเชŸเชตเซ‡เชฐ เช–เชฐเซ€เชฆเชคเซ€ เชตเช–เชคเซ‡, เช•เซ‹เชˆเชชเชฃ เชฐเชพเชœเซเชฏ. เชธเช‚เชตเซ‡เชฆเชจเชถเซ€เชฒ เช˜เชŸเช•เซ‹เชจเชพ เช‰เชชเชฏเซ‹เช—เชจเซ‡ เชฐเซ‹เช•เชตเชพ เชฎเชพเชŸเซ‡ เชธเช‚เชธเซเชฅเชพเช BOM เชจเซ‡ เชตเชฟเชจเช‚เชคเซ€ เช•เชฐเชตเซ€ เช†เชตเชถเซเชฏเช• เช›เซ‡, เชชเชฐเช‚เชคเซ เช† เช…เชงเชฟเชจเชฟเชฏเชฎ เชนเชœเซ€ เช…เชฎเชฒเชฎเชพเช‚ เช†เชตเซเชฏเซ‹ เชจเชฅเซ€.

SCA เชชเชฐ เชชเชพเช›เชพ เชซเชฐเชคเชพ, เชกเชฟเชชเซ‡เชจเซเชกเชจเซเชธเซ€ เชŸเซเชฐเซ‡เช•เชฎเชพเช‚ เชธเซเชฒเซ…เช• เชœเซ‡เชตเชพ เชจเซ‹เชŸเชฟเชซเชฟเช•เซ‡เชถเชจ เชชเซเชฒเซ‡เชŸเชซเซ‹เชฐเซเชฎเซเชธ, เช•เซ‡เชจเซเชจเชพ เชธเชฟเช•เซเชฏเซเชฐเชฟเชŸเซ€ เชœเซ‡เชตเซ€ เชจเชฌเชณเชพเชˆ เชตเซเชฏเชตเชธเซเชฅเชพเชชเชจ เชธเชฟเชธเซเชŸเชฎเซเชธ เชธเชพเชฅเซ‡ เชคเซˆเชฏเชพเชฐ เชเช•เซ€เช•เชฐเชฃ เช›เซ‡. เชคเซ‡ เช•เชนเซ‡เชตเซเช‚ เชชเชฃ เชฏเซ‹เช—เซเชฏ เช›เซ‡ เช•เซ‡ เชกเชฟเชชเซ‡เชจเซเชกเชจเซเชธเซ€ เชŸเซเชฐเซ…เช•, เช…เชจเซเชฏ เชตเชธเซเชคเซเช“เชจเซ€ เชธเชพเชฅเซ‡, เชชเซ…เช•เซ‡เชœเชจเชพ เชœเซ‚เชจเชพ เชตเชฐเซเชเชจเชจเซ‡ เช“เชณเช–เซ‡ เช›เซ‡ เช…เชจเซ‡ เชฒเชพเช‡เชธเชจเซเชธ เชตเชฟเชถเซ‡ เชฎเชพเชนเชฟเชคเซ€ เชชเซเชฐเชฆเชพเชจ เช•เชฐเซ‡ เช›เซ‡ (SPDX เชธเชชเซ‹เชฐเซเชŸเชจเซ‡ เช•เชพเชฐเชฃเซ‡).

เชœเซ‹ เช†เชชเชฃเซ‡ SCA เชจเซ€ เช—เซเชฃเชตเชคเซเชคเชพ เชตเชฟเชถเซ‡ เช–เชพเชธ เชตเชพเชค เช•เชฐเซ€เช, เชคเซ‹ เชคเซเชฏเชพเช‚ เชฎเซ‚เชณเชญเซ‚เชค เชคเชซเชพเชตเชค เช›เซ‡.

เชจเชฟเชฐเซเชญเชฐเชคเชพ เชŸเซเชฐเซ‡เช• เชชเซเชฐเซ‹เชœเซ‡เช•เซเชŸเชจเซ‡ เช‡เชจเชชเซเชŸ เชคเชฐเซ€เช•เซ‡ เชธเซเชตเซ€เช•เชพเชฐเชคเซ‹ เชจเชฅเซ€, เชชเชฐเช‚เชคเซ BOM เชคเชฐเซ€เช•เซ‡. เช†เชจเซ‹ เช…เชฐเซเชฅ เช เช›เซ‡ เช•เซ‡ เชœเซ‹ เช†เชชเชฃเซ‡ เชชเซเชฐเซ‹เชœเซ‡เช•เซเชŸเชจเซเช‚ เชชเชฐเซ€เช•เซเชทเชฃ เช•เชฐเชตเชพ เชฎเชพเช—เซ€เช เช›เซ€เช, เชคเซ‹ เช†เชชเชฃเซ‡ เชธเซŒ เชชเซเชฐเชฅเชฎ bom.xml เชœเชจเชฐเซ‡เชŸ เช•เชฐเชตเชพเชจเซ€ เชœเชฐเซ‚เชฐ เช›เซ‡, เช‰เชฆเชพเชนเชฐเชฃ เชคเชฐเซ€เช•เซ‡ CycloneDX เชจเซ‹ เช‰เชชเชฏเซ‹เช— เช•เชฐเซ€เชจเซ‡. เช†เชฎ, เชจเชฟเชฐเซเชญเชฐเชคเชพ เชŸเซเชฐเซ‡เช• เชธเซ€เชงเซ‹ CycloneDX เชชเชฐ เช†เชงเชพเชฐเชฟเชค เช›เซ‡. เชคเซ‡ เชœ เชธเชฎเชฏเซ‡, เชคเซ‡ เช•เชธเซเชŸเชฎเชพเช‡เชเซ‡เชถเชจ เชฎเชพเชŸเซ‡ เชชเชฐเชตเชพเชจเช—เซ€ เช†เชชเซ‡ เช›เซ‡. เช† OZON เชŸเซ€เชฎเซ‡ เชฒเช–เซเชฏเซเช‚ เช›เซ‡ เชธเชพเชฏเช•เซเชฒเซ‹เชจเชกเซ€เชเช•เซเชธ เชฎเซ‹เชกเซเชฏเซเชฒ เชจเชฟเชฐเซเชญเชฐเชคเชพ เชŸเซเชฐเซ‡เช• เชฆเซเชตเชพเชฐเชพ เชตเชงเซ เชธเซเช•เซ‡เชจเชฟเช‚เช— เชฎเชพเชŸเซ‡ เช—เซ‹เชฒเชพเช‚เช— เชชเซเชฐเซ‹เชœเซ‡เช•เซเชŸเซเชธ เชฎเชพเชŸเซ‡ BOM เชซเชพเช‡เชฒเซ‹ เชเชธเซ‡เชฎเซเชฌเชฒ เช•เชฐเชตเชพ เชฎเชพเชŸเซ‡.

Nexus IQ เชธเซ‹เชจเชพเชŸเชพเช‡เชชเชจเซเช‚ เช•เซ‹เชฎเชฐเซเชถเชฟเชฏเชฒ SCA เชธเซ‹เชฒเซเชฏเซเชถเชจ เช›เซ‡, เชœเซ‡ เชธเซ‹เชจเชพเชŸเชพเช‡เชช เช‡เช•เซ‹เชธเชฟเชธเซเชŸเชฎเชจเซ‹ เชเช• เชญเชพเช— เช›เซ‡, เชœเซ‡เชฎเชพเช‚ เชจเซ‡เช•เซเชธเชธ เชฐเชฟเชชเซ‹เชเซ€เชŸเชฐเซ€ เชฎเซ‡เชจเซ‡เชœเชฐ เชชเชฃ เชธเชพเชฎเซ‡เชฒ เช›เซ‡. เชœเซ‹ เชคเชฎเชพเชฐเซ€ เชธเช‚เชธเซเชฅเชพ เชนเชœเซ เชธเซเชงเซ€ CycloneDX เชฅเซ€ เชจเชตเชพ เชธเซ‹เชฒเซเชฏเซเชถเชจ เชชเชฐ เชธเซเชตเชฟเชš เช•เชฐเซ€ เชจเชฅเซ€, เชคเซ‹ Nexus IQ เชตเซ‡เชฌ เชˆเชจเซเชŸเชฐเชซเซ‡เชธ เช…เชฅเชตเชพ API เช…เชจเซ‡ BOM เชฆเซเชตเชพเชฐเชพ เชฏเซเชฆเซเชง เช†เชฐเซเช•เชพเชˆเชตเซเชธ (เชœเชพเชตเชพ เชชเซเชฐเซ‹เชœเซ‡เช•เซเชŸเซเชธ เชฎเชพเชŸเซ‡) เชฌเช‚เชจเซ‡ เช‡เชจเชชเซเชŸ เชคเชฐเซ€เช•เซ‡ เชธเซเชตเซ€เช•เชพเชฐเซ€ เชถเช•เซ‡ เช›เซ‡. เช“เชชเชจ เชธเซ‹เชฐเซเชธ เชธเซ‹เชฒเซเชฏเซเชถเชจเซเชธเชฅเซ€ เชตเชฟเชชเชฐเซ€เชค, IQ เช เช“เชณเช–เชพเชฏเซ‡เชฒ เช˜เชŸเช• เช…เชจเซ‡ เชกเซ‡เชŸเชพเชฌเซ‡เชเชฎเชพเช‚ เชธเช‚เชฌเช‚เชงเชฟเชค เชจเชฌเชณเชพเชˆเชจเซ‡ เชฎเชพเชคเซเชฐ CP/PURL เชจเซ‹ เชœ เช‰เชฒเซเชฒเซ‡เช– เช•เชฐเชคเซเช‚ เชจเชฅเซ€, เชชเชฐเช‚เชคเซ เชคเซ‡เชจเชพ เชชเซ‹เชคเชพเชจเชพ เชธเช‚เชถเซ‹เชงเชจเชจเซ‡ เชชเชฃ เชงเซเชฏเชพเชจเชฎเชพเช‚ เชฒเซ‡ เช›เซ‡, เช‰เชฆเชพเชนเชฐเชฃ เชคเชฐเซ€เช•เซ‡, เชจเชฌเชณเชพ เช•เชพเชฐเซเชฏ เช…เชฅเชตเชพ เชตเชฐเซเช—เชจเซเช‚ เชจเชพเชฎ. เชชเชฐเชฟเชฃเชพเชฎเซ‹เชจเชพ เชตเชฟเชถเซเชฒเซ‡เชทเชฃเชฎเชพเช‚ IQ เชจเซ€ เชชเชฆเซเชงเชคเชฟเช“เชจเซ€ เชšเชฐเซเชšเชพ เชชเช›เซ€เชฅเซ€ เช•เชฐเชตเชพเชฎเชพเช‚ เช†เชตเชถเซ‡.

เชšเชพเชฒเซ‹ เช•เซ‡เชŸเชฒเซ€เช• เช•เชพเชฐเซเชฏเชพเชคเซเชฎเช• เชธเซเชตเชฟเชงเชพเช“เชจเซ‹ เชธเชพเชฐเชพเช‚เชถ เช†เชชเซ€เช, เช…เชจเซ‡ เชตเชฟเชถเซเชฒเซ‡เชทเชฃ เชฎเชพเชŸเซ‡ เชธเชฎเชฐเซเชฅเชฟเชค เชญเชพเชทเชพเช“เชจเซ‡ เชชเชฃ เชงเซเชฏเชพเชจเชฎเชพเช‚ เชฒเชˆเช:

เชญเชพเชทเชพ
Nexus IQ
เชจเชฟเชฐเซเชญเชฐเชคเชพ เชคเชชเชพเชธ
เชจเชฟเชฐเซเชญเชฐเชคเชพ เชŸเซเชฐเซ‡เช•

เชœเชพเชตเชพ
+
+
+

C / C ++
+
+
-

C#
+
+
-

.เชจเซ‡เชŸ
+
+
+

เชเชฐเซเชฒเชพเช‚เช—
-
-
+

เชœเชพเชตเชพเชธเซเช•เซเชฐเชฟเชชเซเชŸ (เชจเซ‹เชกเชœเซ‡เชเชธ)
+
+
+

PHP
+
+
+

เชชเชพเชฏเชฅเซ‹เชจ
+
+
+

เชฐเซ‚เชฌเซ€
+
+
+

เชชเชฐเซเชฒ
-
-
-

เชธเซเช•เชพเชฒเชพ
+
+
+

เช‰เชฆเซเชฆเซ‡เชถ เชธเซ€
+
+
-

เชธเซเชตเชฟเชซเซเชŸ
+
+
-

R
+
-
-

Go
+
+
+

เช•เชพเชฐเซเชฏเช•เซเชทเชฎเชคเชพ

เช•เชพเชฐเซเชฏเช•เซเชทเชฎเชคเชพ
Nexus IQ
เชจเชฟเชฐเซเชญเชฐเชคเชพ เชคเชชเชพเชธ
เชจเชฟเชฐเซเชญเชฐเชคเชพ เชŸเซเชฐเซ‡เช•

เชธเซเชคเซเชฐเซ‹เชค เช•เซ‹เชกเชฎเชพเช‚ เชตเชชเชฐเชพเชคเชพ เช˜เชŸเช•เซ‹ เชฒเชพเชฏเชธเชจเซเชธเชตเชพเชณเซ€ เชถเซเชฆเซเชงเชคเชพ เชฎเชพเชŸเซ‡ เชคเชชเชพเชธเชตเชพเชฎเชพเช‚ เช†เชตเซ‡ เช›เซ‡ เชคเซ‡เชจเซ€ เช–เชพเชคเชฐเซ€ เช•เชฐเชตเชพเชจเซ€ เช•เซเชทเชฎเชคเชพ
+
-
+

เชกเซ‹เช•เชฐ เช›เชฌเซ€เช“ เชฎเชพเชŸเซ‡ เชจเชฌเชณเชพเชˆเช“ เช…เชจเซ‡ เชฒเชพเช‡เชธเชจเซเชธ เชธเซเชตเชšเซเช›เชคเชพ เชฎเชพเชŸเซ‡ เชธเซเช•เซ‡เชจ เช…เชจเซ‡ เชตเชฟเชถเซเชฒเซ‡เชทเชฃ เช•เชฐเชตเชพเชจเซ€ เช•เซเชทเชฎเชคเชพ
+ เช•เซเชฒเซ‡เชฐ เชธเชพเชฅเซ‡ เชเช•เซ€เช•เชฐเชฃ
-
-

เช“เชชเชจ เชธเซ‹เชฐเซเชธ เชฒเชพเช‡เชฌเซเชฐเซ‡เชฐเซ€เช“เชจเซ‹ เช‰เชชเชฏเซ‹เช— เช•เชฐเชตเชพ เชฎเชพเชŸเซ‡ เชธเซเชฐเช•เซเชทเชพ เชจเซ€เชคเชฟเช“เชจเซ‡ เช—เซ‹เช เชตเชตเชพเชจเซ€ เช•เซเชทเชฎเชคเชพ
+
-
-

เชจเชฌเชณเชพ เช˜เชŸเช•เซ‹ เชฎเชพเชŸเซ‡ เช“เชชเชจ เชธเซ‹เชฐเซเชธ เชฐเชฟเชชเซ‹เชเซ€เชŸเชฐเซ€เช เชธเซเช•เซ‡เชจ เช•เชฐเชตเชพเชจเซ€ เช•เซเชทเชฎเชคเชพ
+ เชฐเซ‚เชฌเซ€เชœเซ‡เชฎเซเชธ, เชฎเชพเชตเซ‡เชจ, เชเชจเชชเซ€เชเชฎ, เชจเซเช—เซ‡เชŸ, เชชเซ€เชชเซ€, เช•เซ‹เชจเชจ, เชฌเซ‹เชตเชฐ, เช•เซ‹เชจเซเชกเชพ, เช—เซ‹, เชชเซ€ 2, เช†เชฐ, เชฏเชฎ, เชนเซ‡เชฒเซเชฎ, เชกเซ‹เช•เชฐ, เช•เซ‹เช•เซ‹เชชเซ‹เชกเซเชธ, เช—เชฟเชŸ เชเชฒเชเชซเชเชธ
-
+ เชนเซ‡เช•เซเชธ, เชฐเซ‚เชฌเซ€เชœเซ‡เชฎเซเชธ, เชฎเชพเชตเซ‡เชจ, เชเชจเชชเซ€เชเชฎ, เชจเซเชฏเซเช—เซ‡เชŸ, เชชเชพเชฏเชชเซ€

เชตเชฟเชถเชฟเชทเซเชŸ เชธเช‚เชถเซ‹เชงเชจ เชœเซ‚เชฅเชจเซ€ เช‰เชชเชฒเชฌเซเชงเชคเชพ
+
-
-

เชฌเช‚เชง เชฒเซ‚เชช เช•เชพเชฎเช—เซ€เชฐเซ€
+
+
+

เชฅเชฐเซเชก เชชเชพเชฐเซเชŸเซ€ เชกเซ‡เชŸเชพเชฌเซ‡เชธเซ‡เชธเชจเซ‹ เช‰เชชเชฏเซ‹เช—
+ เชฌเช‚เชง เชธเซ‹เชจเชพเชŸเชพเช‡เชช เชกเซ‡เชŸเชพเชฌเซ‡เช
+ Sonatype OSS, NPM เชœเชพเชนเซ‡เชฐ เชธเชฒเชพเชนเช•เชพเชฐเซ‹
+ Sonatype OSS, NPM เชœเชพเชนเซ‡เชฐ เชธเชฒเชพเชนเช•เชพเชฐเซ‹, RetireJS, VulnDB, เชคเซ‡เชจเชพ เชชเซ‹เชคเชพเชจเชพ เชจเชฌเชณเชพเชˆ เชกเซ‡เชŸเชพเชฌเซ‡เช เชฎเชพเชŸเซ‡ เชธเชชเซ‹เชฐเซเชŸ

เชฐเซ‚เชชเชฐเซ‡เช–เชพเช‚เช•เชฟเชค เชจเซ€เชคเชฟเช“ เช…เชจเซเชธเชพเชฐ เชตเชฟเช•เชพเชธ เชฒเซ‚เชชเชฎเชพเช‚ เชฒเซ‹เชก เช•เชฐเชตเชพเชจเซ‹ เชชเซเชฐเชฏเชพเชธ เช•เชฐเชคเซ€ เชตเช–เชคเซ‡ เช“เชชเชจ เชธเซ‹เชฐเซเชธ เช˜เชŸเช•เซ‹เชจเซ‡ เชซเชฟเชฒเซเชŸเชฐ เช•เชฐเชตเชพเชจเซ€ เช•เซเชทเชฎเชคเชพ
+
-
-

เชจเชฌเชณเชพเชˆเช“เชจเซ‡ เช เซ€เช• เช•เชฐเชตเชพ เชฎเชพเชŸเซ‡เชจเซ€ เชญเชฒเชพเชฎเชฃเซ‹, เชซเชฟเช•เซเชธเซ‡เชธเชจเซ€ เชฒเชฟเช‚เช•เซเชธเชจเซ€ เช‰เชชเชฒเชฌเซเชงเชคเชพ
+
+- (เชธเชพเชฐเซเชตเชœเชจเชฟเช• เชกเซ‡เชŸเชพเชฌเซ‡เชเชฎเชพเช‚ เชตเชฐเซเชฃเชจ เชชเชฐ เช†เชงเชพเชฐ เชฐเชพเช–เซ‡ เช›เซ‡)
+- (เชธเชพเชฐเซเชตเชœเชจเชฟเช• เชกเซ‡เชŸเชพเชฌเซ‡เชเชฎเชพเช‚ เชตเชฐเซเชฃเชจ เชชเชฐ เช†เชงเชพเชฐ เชฐเชพเช–เซ‡ เช›เซ‡)

เช—เช‚เชญเซ€เชฐเชคเชพ เชฆเซเชตเชพเชฐเชพ เชถเซ‹เชงเชพเชฏเซ‡เชฒ เชจเชฌเชณเชพเชˆเช“เชจเซ€ เชฐเซ‡เชจเซเช•เชฟเช‚เช—
+
+
+

เชฐเซ‹เชฒ-เช†เชงเชพเชฐเชฟเชค เชเช•เซเชธเซ‡เชธ เชฎเซ‹เชกเชฒ
+
-
+

CLI เชธเชชเซ‹เชฐเซเชŸ
+
+
+- (เชซเช•เซเชค CycloneDX เชฎเชพเชŸเซ‡)

เชจเชฟเชฐเซเชงเชพเชฐเชฟเชค เชฎเชพเชชเชฆเช‚เชกเซ‹ เช…เชจเซเชธเชพเชฐ เชจเชฌเชณเชพเชˆเช“เชจเชพ เชจเชฎเซ‚เชจเชพ/เชธเซ‰เชฐเซเชŸเชฟเช‚เช—
+
-
+

เชเชชเซเชฒเชฟเช•เซ‡เชถเชจ เชธเซเชฅเชฟเชคเชฟ เชฆเซเชตเชพเชฐเชพ เชกเซ‡เชถเชฌเซ‹เชฐเซเชก
+
-
+

เชชเซ€เชกเซ€เชเชซ เชซเซ‹เชฐเซเชฎเซ‡เชŸเชฎเชพเช‚ เช…เชนเซ‡เชตเชพเชฒเซ‹ เชœเชจเชฐเซ‡เชŸ เช•เชฐเซ€ เชฐเชนเซเชฏเชพ เช›เซ€เช
+
-
-

JSONCSV เชซเซ‹เชฐเซเชฎเซ‡เชŸเชฎเชพเช‚ เชฐเชฟเชชเซ‹เชฐเซเชŸเซเชธ เชœเชจเชฐเซ‡เชŸ เช•เชฐเซ€ เชฐเชนเซเชฏเชพเช‚ เช›เซ€เช
+
+
-

เชฐเชถเชฟเชฏเชจ เชญเชพเชทเชพ เช†เชงเชพเชฐ
-
-
-

เชเช•เซ€เช•เชฐเชฃ เช•เซเชทเชฎเชคเชพเช“

เชเช•เซ€เช•เชฐเชฃ
Nexus IQ
เชจเชฟเชฐเซเชญเชฐเชคเชพ เชคเชชเชพเชธ
เชจเชฟเชฐเซเชญเชฐเชคเชพ เชŸเซเชฐเซ‡เช•

LDAP/เชธเช•เซเชฐเชฟเชฏ เชกเชฟเชฐเซ‡เช•เซเชŸเชฐเซ€ เชเช•เซ€เช•เชฐเชฃ
+
-
+

เชธเชคเชค เชเช•เซ€เช•เชฐเชฃ เชธเชฟเชธเซเชŸเชฎ เชตเชพเช‚เชธ เชธเชพเชฅเซ‡ เชเช•เซ€เช•เชฐเชฃ
+
-
-

เชธเชคเชค เชเช•เซ€เช•เชฐเชฃ เชธเชฟเชธเซเชŸเชฎ เชŸเซ€เชฎเชธเชฟเชŸเซ€ เชธเชพเชฅเซ‡ เชเช•เซ€เช•เชฐเชฃ
+
-
-

เชธเชคเชค เชเช•เซ€เช•เชฐเชฃ เชธเชฟเชธเซเชŸเชฎ GitLab เชธเชพเชฅเซ‡ เชเช•เซ€เช•เชฐเชฃ
+
+- (เช—เชฟเชŸเชฒเซ‡เชฌ เชฎเชพเชŸเซ‡ เชชเซเชฒเช—เช‡เชจ เชคเชฐเซ€เช•เซ‡)
+

เชธเชคเชค เชเช•เซ€เช•เชฐเชฃ เชธเชฟเชธเซเชŸเชฎ เชœเซ‡เชจเช•เชฟเชจเซเชธ เชธเชพเชฅเซ‡ เชเช•เซ€เช•เชฐเชฃ
+
+
+

IDE เชฎเชพเชŸเซ‡ เชชเซเชฒเช—เชฟเชจเซเชธเชจเซ€ เช‰เชชเชฒเชฌเซเชงเชคเชพ
+ IntelliJ, Eclipse, Visual Studio
-
-

เชŸเซ‚เชฒเชจเซ€ เชตเซ‡เชฌ-เชธเซ‡เชตเชพเช“ (API) เชฆเซเชตเชพเชฐเชพ เช•เชธเซเชŸเชฎ เชเช•เซ€เช•เชฐเชฃ เชฎเชพเชŸเซ‡ เชธเชชเซ‹เชฐเซเชŸ
+
-
+

เชจเชฟเชฐเซเชญเชฐเชคเชพ เชคเชชเชพเชธ

เชชเซเชฐเชฅเชฎ เชถเชฐเซ‚เช†เชค

เชšเชพเชฒเซ‹ เชœเชพเชฃเซ€เชœเซ‹เชˆเชจเซ‡ เชธเช‚เชตเซ‡เชฆเชจเชถเซ€เชฒ เชเชชเซเชฒเชฟเช•เซ‡เชถเชจ เชชเชฐ เชกเชฟเชชเซ‡เชจเซเชกเชจเซเชธเซ€ เชšเซ‡เช• เชšเชฒเชพเชตเซ€เช เชกเซ€เชตเซ€เชœเซ‡เช.

เช† เชฎเชพเชŸเซ‡ เช†เชชเชฃเซ‡ เช‰เชชเชฏเซ‹เช— เช•เชฐเซ€เชถเซเช‚ เชกเชฟเชชเซ‡เชจเซเชกเชจเซเชธเซ€ เชšเซ‡เช• เชฎเซ‡เชตเชจ เชชเซเชฒเช—เช‡เชจ:

mvn org.owasp:dependency-check-maven:check

เชชเชฐเชฟเชฃเชพเชฎเซ‡, เชจเชฟเชฐเซเชญเชฐเชคเชพ-เชšเซ‡เช•-report.html เชฒเช•เซเชทเซเชฏ เชจเชฟเชฐเซเชฆเซ‡เชถเชฟเช•เชพเชฎเชพเช‚ เชฆเซ‡เช–เชพเชถเซ‡.

DevSecOps: เช•เชพเชฎเช—เซ€เชฐเซ€เชจเชพ เชธเชฟเชฆเซเชงเชพเช‚เชคเซ‹ เช…เชจเซ‡ SCA เชจเซ€ เชธเชฐเช–เชพเชฎเชฃเซ€. เชญเชพเช— เชเช•

เชšเชพเชฒเซ‹ เชซเชพเชˆเชฒ เช–เซ‹เชฒเซ€เช. เชจเชฌเชณเชพเชˆเช“เชจเซ€ เช•เซเชฒ เชธเช‚เช–เซเชฏเชพ เชตเชฟเชถเซ‡ เชธเชพเชฐเชพเช‚เชถ เชฎเชพเชนเชฟเชคเซ€ เชชเช›เซ€, เช…เชฎเซ‡ เช‰เชšเซเชš เชธเซเชคเชฐเชจเซ€ เช—เช‚เชญเซ€เชฐเชคเชพ เช…เชจเซ‡ เช†เชคเซเชฎเชตเชฟเชถเซเชตเชพเชธ เชธเชพเชฅเซ‡ เชจเชฌเชณเชพเชˆเช“ เชตเชฟเชถเซ‡เชจเซ€ เชฎเชพเชนเชฟเชคเซ€ เชœเซ‹เชˆ เชถเช•เซ€เช เช›เซ€เช, เชœเซ‡ เชชเซ‡เช•เซ‡เชœ, CPE เช…เชจเซ‡ CVE เชจเซ€ เชธเช‚เช–เซเชฏเชพ เชฆเชฐเซเชถเชพเชตเซ‡ เช›เซ‡.

เช†เช—เชณ เชตเชงเซ เชตเชฟเช—เชคเชตเชพเชฐ เชฎเชพเชนเชฟเชคเซ€ เช†เชตเซ‡ เช›เซ‡, เช–เชพเชธ เช•เชฐเซ€เชจเซ‡ เชœเซ‡เชจเชพ เช†เชงเชพเชฐเซ‡ เชจเชฟเชฐเซเชฃเชฏ เชฒเซ‡เชตเชพเชฎเชพเช‚ เช†เชตเซเชฏเซ‹ เชนเชคเซ‹ (เชชเซเชฐเชพเชตเชพ), เชเชŸเชฒเซ‡ เช•เซ‡ เชšเซ‹เช•เซเช•เชธ BOM.

DevSecOps: เช•เชพเชฎเช—เซ€เชฐเซ€เชจเชพ เชธเชฟเชฆเซเชงเชพเช‚เชคเซ‹ เช…เชจเซ‡ SCA เชจเซ€ เชธเชฐเช–เชพเชฎเชฃเซ€. เชญเชพเช— เชเช•

เช†เช—เชณ CPE, PURL เช…เชจเซ‡ CVE เชตเชฐเซเชฃเชจ เช†เชตเซ‡ เช›เซ‡. เชฎเชพเชฐเซเช— เชฆเซเชตเชพเชฐเชพ, NVD เชกเซ‡เชŸเชพเชฌเซ‡เชเชฎเชพเช‚ เชคเซ‡เชฎเชจเซ€ เช—เซ‡เชฐเชนเชพเชœเชฐเซ€เชจเซ‡ เช•เชพเชฐเชฃเซ‡ เช•เชฐเซ‡เช•เซเชถเชจ เชฎเชพเชŸเซ‡เชจเซ€ เชญเชฒเชพเชฎเชฃเซ‹เชจเซ‹ เชธเชฎเชพเชตเซ‡เชถ เช•เชฐเชตเชพเชฎเชพเช‚ เช†เชตเซเชฏเซ‹ เชจเชฅเซ€.

DevSecOps: เช•เชพเชฎเช—เซ€เชฐเซ€เชจเชพ เชธเชฟเชฆเซเชงเชพเช‚เชคเซ‹ เช…เชจเซ‡ SCA เชจเซ€ เชธเชฐเช–เชพเชฎเชฃเซ€. เชญเชพเช— เชเช•

เชธเซเช•เซ‡เชจ เชชเชฐเชฟเชฃเชพเชฎเซ‹เชจเซ‡ เชตเซเชฏเชตเชธเซเชฅเชฟเชค เชฐเซ€เชคเซ‡ เชœเซ‹เชตเชพ เชฎเชพเชŸเซ‡, เชคเชฎเซ‡ เชจเซเชฏเซ‚เชจเชคเชฎ เชธเซ‡เชŸเชฟเช‚เช—เซเชธ เชธเชพเชฅเซ‡ Nginx เชฐเซ‚เชชเชฐเซ‡เช–เชพเช‚เช•เชฟเชค เช•เชฐเซ€ เชถเช•เซ‹ เช›เซ‹ เช…เชฅเชตเชพ เชชเชฐเชฟเชฃเชพเชฎเซ€ เช–เชพเชฎเซ€เช“เชจเซ‡ เช–เชพเชฎเซ€ เชตเซเชฏเชตเชธเซเชฅเชพเชชเชจ เชธเชฟเชธเซเชŸเชฎเชฎเชพเช‚ เชฎเซ‹เช•เชฒเซ€ เชถเช•เซ‹ เช›เซ‹ เชœเซ‡ เช•เชจเซ‡เช•เซเชŸเชฐเซเชธเชจเซ‡ เชกเชฟเชชเซ‡เชจเซเชกเชจเซเชธเซ€ เชšเซ‡เช•เชฎเชพเช‚ เชธเชชเซ‹เชฐเซเชŸ เช•เชฐเซ‡ เช›เซ‡. เช‰เชฆเชพเชนเชฐเชฃ เชคเชฐเซ€เช•เซ‡, เชกเชฟเชซเซ‡เช•เซเชŸ เชกเซ‹เชœเซ‹.

เชจเชฟเชฐเซเชญเชฐเชคเชพ เชŸเซเชฐเซ‡เช•

เชธเซเชฅเชพเชชเชจ

เชกเชฟเชชเซ‡เชจเซเชกเชจเซเชธเซ€ เชŸเซเชฐเซ…เช•, เชฌเชฆเชฒเชพเชฎเชพเช‚, เชกเชฟเชธเซเชชเซเชฒเซ‡ เช—เซเชฐเชพเชซเซเชธ เชธเชพเชฅเซ‡เชจเซเช‚ เชตเซ‡เชฌ-เช†เชงเชพเชฐเชฟเชค เชชเซเชฒเซ‡เชŸเชซเซ‹เชฐเซเชฎ เช›เซ‡, เชคเซ‡เชฅเซ€ เชคเซƒเชคเซ€เชฏ-เชชเช•เซเชท เช‰เช•เซ‡เชฒเชฎเชพเช‚ เช–เชพเชฎเซ€เช“เชจเซ‡ เชธเช‚เช—เซเชฐเชนเชฟเชค เช•เชฐเชตเชพเชจเซ‹ เชฎเซเช–เซเชฏ เชฎเซเชฆเซเชฆเซ‹ เช…เชนเซ€เช‚ เชŠเชญเซ‹ เชฅเชคเซ‹ เชจเชฅเซ€.
เช‡เชจเซเชธเซเชŸเซ‹เชฒเซ‡เชถเชจ เชฎเชพเชŸเซ‡ เชธเชชเซ‹เชฐเซเชŸเซ‡เชก เชธเซเช•เซเชฐเชฟเชชเซเชŸเซ‹ เช›เซ‡: เชกเซ‹เช•เชฐ, WAR, เชเช•เซเชเชฟเช•เซเชฏเซเชŸเซ‡เชฌเชฒ WAR.

เชชเซเชฐเชฅเชฎ เชถเชฐเซ‚เช†เชค

เช…เชฎเซ‡ เชšเชพเชฒเซ€ เชฐเชนเซ‡เชฒ เชธเซ‡เชตเชพเชจเชพ URL เชชเชฐ เชœเชˆเช เช›เซ€เช. เช…เชฎเซ‡ เชเชกเชฎเชฟเชจ/เชเชกเชฎเชฟเชจ เชฆเซเชตเชพเชฐเชพ เชฒเซ‰เช— เช‡เชจ เช•เชฐเซ€เช เช›เซ€เช, เชฒเซ‰เช—เชฟเชจ เช…เชจเซ‡ เชชเชพเชธเชตเชฐเซเชก เชฌเชฆเชฒเซ€เช เช›เซ€เช เช…เชจเซ‡ เชชเช›เซ€ เชกเซ‡เชถเชฌเซ‹เชฐเซเชก เชชเชฐ เชœเชˆเช เช›เซ€เช. เช†เช—เชณเชจเซ€ เชตเชธเซเชคเซ เช…เชฎเซ‡ เชœเชพเชตเชพ เชฎเชพเช‚ เชŸเซ‡เชธเซเชŸ เชเชชเซเชฒเชฟเช•เซ‡เชถเชจ เชฎเชพเชŸเซ‡ เชเช• เชชเซเชฐเซ‹เชœเซ‡เช•เซเชŸ เชฌเชจเชพเชตเซ€เชถเซเช‚ เช˜เชฐ/เชชเซเชฐเซ‹เชœเซ‡เช•เซเชŸเซเชธ โ†’ เชชเซเชฐเซ‹เชœเซ‡เช•เซเชŸ เชฌเชจเชพเชตเซ‹ . เชšเชพเชฒเซ‹ DVJA เชจเซ‡ เช‰เชฆเชพเชนเชฐเชฃ เชคเชฐเซ€เช•เซ‡ เชฒเชˆเช.

DevSecOps: เช•เชพเชฎเช—เซ€เชฐเซ€เชจเชพ เชธเชฟเชฆเซเชงเชพเช‚เชคเซ‹ เช…เชจเซ‡ SCA เชจเซ€ เชธเชฐเช–เชพเชฎเชฃเซ€. เชญเชพเช— เชเช•

เชกเชฟเชชเซ‡เชจเซเชกเชจเซเชธเซ€ เชŸเซเชฐเซ…เช• เชซเช•เซเชค BOM เชจเซ‡ เช‡เชจเชชเซเชŸ เชคเชฐเซ€เช•เซ‡ เชธเซเชตเซ€เช•เชพเชฐเซ€ เชถเช•เซ‡ เช›เซ‡, เช† BOM เชชเซเชจเชƒเชชเซเชฐเชพเชชเซเชค เช•เชฐเชตเซเช‚ เช†เชตเชถเซเชฏเช• เช›เซ‡. เชšเชพเชฒเซ‹ เชฒเชพเชญ เชฒเชˆเช CycloneDX Maven เชชเซเชฒเช—เช‡เชจ:

mvn org.cyclonedx:cyclonedx-maven-plugin:makeAggregateBom

เช†เชชเชฃเชจเซ‡ bom.xml เชฎเชณเซ‡ เช›เซ‡ เช…เชจเซ‡ เชฌเชจเชพเชตเซ‡เชฒ เชชเซเชฐเซ‹เชœเซ‡เช•เซเชŸเชฎเชพเช‚ เชซเชพเชˆเชฒ เชฒเซ‹เชก เช•เชฐเซ€เช เช›เซ€เช DVJA โ†’ เชจเชฟเชฐเซเชญเชฐเชคเชพ โ†’ BOM เช…เชชเชฒเซ‹เชก เช•เชฐเซ‹.

เชšเชพเชฒเซ‹ เชเชกเชฎเชฟเชจเชฟเชธเซเชŸเซเชฐเซ‡เชถเชจ โ†’ เชตเชฟเชถเซเชฒเซ‡เชทเช•เซ‹ เชชเชฐ เชœเชˆเช. เช…เชฎเซ‡ เชธเชฎเชœเซ€เช เช›เซ€เช เช•เซ‡ เช…เชฎเชพเชฐเซ€ เชชเชพเชธเซ‡ เชซเช•เซเชค เช†เช‚เชคเชฐเชฟเช• เชตเชฟเชถเซเชฒเซ‡เชทเช• เชธเช•เซเชทเชฎ เช›เซ‡, เชœเซ‡เชฎเชพเช‚ NVD เชถเชพเชฎเซ‡เชฒ เช›เซ‡. เชšเชพเชฒเซ‹ Sonatype OSS Index เชจเซ‡ เชชเชฃ เช•เชจเซ‡เช•เซเชŸ เช•เชฐเซ€เช.

DevSecOps: เช•เชพเชฎเช—เซ€เชฐเซ€เชจเชพ เชธเชฟเชฆเซเชงเชพเช‚เชคเซ‹ เช…เชจเซ‡ SCA เชจเซ€ เชธเชฐเช–เชพเชฎเชฃเซ€. เชญเชพเช— เชเช•

เช†เชฎ, เช…เชฎเชจเซ‡ เช…เชฎเชพเชฐเชพ เชชเซเชฐเซ‹เชœเซ‡เช•เซเชŸ เชฎเชพเชŸเซ‡ เชจเซ€เชšเซ‡เชจเซเช‚ เชšเชฟเชคเซเชฐ เชฎเชณเซ‡ เช›เซ‡:

DevSecOps: เช•เชพเชฎเช—เซ€เชฐเซ€เชจเชพ เชธเชฟเชฆเซเชงเชพเช‚เชคเซ‹ เช…เชจเซ‡ SCA เชจเซ€ เชธเชฐเช–เชพเชฎเชฃเซ€. เชญเชพเช— เชเช•

เชธเซ‚เชšเชฟเชฎเชพเช‚ เชชเชฃ เชคเชฎเซ‡ เชธเซ‹เชจเชพเชŸเชพเช‡เชช OSS เชชเชฐ เชฒเชพเช—เซ เชชเชกเชคเซ€ เชเช• เชจเชฌเชณเชพเชˆ เชถเซ‹เชงเซ€ เชถเช•เซ‹ เช›เซ‹:

DevSecOps: เช•เชพเชฎเช—เซ€เชฐเซ€เชจเชพ เชธเชฟเชฆเซเชงเชพเช‚เชคเซ‹ เช…เชจเซ‡ SCA เชจเซ€ เชธเชฐเช–เชพเชฎเชฃเซ€. เชญเชพเช— เชเช•

เชฎเซเช–เซเชฏ เชจเชฟเชฐเชพเชถเชพ เช เชนเชคเซ€ เช•เซ‡ เชกเชฟเชชเซ‡เชจเซเชกเชจเซเชธเซ€ เชŸเซเชฐเซ‡เช• เชนเชตเซ‡ เชกเชฟเชชเซ‡เชจเซเชกเชจเซเชธเซ€ เชšเซ‡เช• xml เชฐเชฟเชชเซ‹เชฐเซเชŸเซเชธ เชธเซเชตเซ€เช•เชพเชฐเชคเซ‹ เชจเชฅเซ€. เชกเชฟเชชเซ‡เชจเซเชกเชจเซเชธเซ€ เชšเซ‡เช• เช‡เชจเซเชŸเชฟเช—เซเชฐเซ‡เชถเชจเชจเชพ เชจเชตเซ€เชจเชคเชฎ เชธเชชเซ‹เชฐเซเชŸเซ‡เชก เชตเชฐเซเชเชจ 1.0.0 - 4.0.2 เชนเชคเชพ, เชœเซเชฏเชพเชฐเซ‡ เชฎเซ‡เช‚ 5.3.2 เชจเซเช‚ เชชเชฐเซ€เช•เซเชทเชฃ เช•เชฐเซเชฏเซเช‚ เชนเชคเซเช‚.

เช…เชนเซ€เช‚ ะฒะธะดะตะพ (เช…เชจเซ‡ เชœเซ‹เชฏเซ‡เชฒเซเช‚เชœเซเชฏเชพเชฐเซ‡ เชคเซ‡ เชนเชœเซ เชชเชฃ เชถเช•เซเชฏ เชนเชคเซเช‚.

Nexus IQ

เชชเซเชฐเชฅเชฎ เชถเชฐเซ‚เช†เชค

Nexus IQ เชจเซเช‚ เช‡เชจเซเชธเซเชŸเซ‹เชฒเซ‡เชถเชจ เช†เชฐเซเช•เชพเช‡เชตเซเชธเชฎเชพเช‚เชฅเซ€ เช†เชตเซ‡ เช›เซ‡ เชฆเชธเซเชคเชพเชตเซ‡เชœเซ€เช•เชฐเชฃ, เชชเชฐเช‚เชคเซ เช…เชฎเซ‡ เช† เชนเซ‡เชคเซเช“ เชฎเชพเชŸเซ‡ เชกเซ‹เช•เชฐ เช‡เชฎเซ‡เชœ เชฌเชจเชพเชตเซ€ เช›เซ‡.

เช•เชจเซเชธเซ‹เชฒเชฎเชพเช‚ เชฒเซ‹เช— เช‡เชจ เช•เชฐเซเชฏเชพ เชชเช›เซ€, เชคเชฎเชพเชฐเซ‡ เชเช• เชธเช‚เชธเซเชฅเชพ เช…เชจเซ‡ เชเชชเซเชฒเชฟเช•เซ‡เชถเชจ เชฌเชจเชพเชตเชตเชพเชจเซ€ เชœเชฐเซ‚เชฐ เช›เซ‡.

DevSecOps: เช•เชพเชฎเช—เซ€เชฐเซ€เชจเชพ เชธเชฟเชฆเซเชงเชพเช‚เชคเซ‹ เช…เชจเซ‡ SCA เชจเซ€ เชธเชฐเช–เชพเชฎเชฃเซ€. เชญเชพเช— เชเช•

DevSecOps: เช•เชพเชฎเช—เซ€เชฐเซ€เชจเชพ เชธเชฟเชฆเซเชงเชพเช‚เชคเซ‹ เช…เชจเซ‡ SCA เชจเซ€ เชธเชฐเช–เชพเชฎเชฃเซ€. เชญเชพเช— เชเช•

DevSecOps: เช•เชพเชฎเช—เซ€เชฐเซ€เชจเชพ เชธเชฟเชฆเซเชงเชพเช‚เชคเซ‹ เช…เชจเซ‡ SCA เชจเซ€ เชธเชฐเช–เชพเชฎเชฃเซ€. เชญเชพเช— เชเช•

เชœเซ‡เชฎ เชคเชฎเซ‡ เชœเซ‹เชˆ เชถเช•เซ‹ เช›เซ‹, IQ เชจเชพ เช•เชฟเชธเซเชธเชพเชฎเชพเช‚ เชธเซ‡เชŸเช…เชช เช•เช‚เชˆเช• เช…เช‚เชถเซ‡ เชตเชงเซ เชœเชŸเชฟเชฒ เช›เซ‡, เช•เชพเชฐเชฃ เช•เซ‡ เช…เชฎเชพเชฐเซ‡ เชตเชฟเชตเชฟเชง "เชคเชฌเช•เซเช•เชพเช“" (เชฆเซ‡เชต, เชฌเชฟเชฒเซเชก, เชธเซเชŸเซ‡เชœ, เชฐเชฟเชฒเซ€เช) เชฎเชพเชŸเซ‡ เชฒเชพเช—เซ เชชเชกเชคเซ€ เชจเซ€เชคเชฟเช“ เชชเชฃ เชฌเชจเชพเชตเชตเชพเชจเซ€ เชœเชฐเซ‚เชฐ เช›เซ‡. เชจเชฌเชณเชพ เช˜เชŸเช•เซ‹เชจเซ‡ เชฌเซเชฒเซ‹เช• เช•เชฐเชตเชพ เชฎเชพเชŸเซ‡ เช† เชœเชฐเซ‚เชฐเซ€ เช›เซ‡ เช•เชพเชฐเชฃ เช•เซ‡ เชคเซ‡เช“ เช‰เชคเซเชชเชพเชฆเชจเชจเซ€ เชจเชœเซ€เช• เชชเชพเช‡เชชเชฒเชพเช‡เชจเชฎเชพเช‚เชฅเซ€ เชชเชธเชพเชฐ เชฅเชพเชฏ เช›เซ‡, เช…เชฅเชตเชพ เชตเชฟเช•เชพเชธเช•เชฐเซเชคเชพเช“ เชฆเซเชตเชพเชฐเชพ เชกเชพเช‰เชจเชฒเซ‹เชก เช•เชฐเชตเชพเชฎเชพเช‚ เช†เชตเซ‡ เชคเซเชฏเชพเชฐเซ‡ Nexus เชฐเซ‡เชชเซ‹เชฎเชพเช‚ เชชเซเชฐเชตเซ‡เชถเชคเชพเชจเซ€ เชธเชพเชฅเซ‡ เชœ เชคเซ‡เชฎเชจเซ‡ เช…เชตเชฐเซ‹เชงเชฟเชค เช•เชฐเชตเชพ เชฎเชพเชŸเซ‡ เช† เชœเชฐเซ‚เชฐเซ€ เช›เซ‡.

เช“เชชเชจ เชธเซ‹เชฐเซเชธ เช…เชจเซ‡ เชเชจเซเชŸเชฐเชชเซเชฐเชพเช‡เช เชตเชšเซเชšเซ‡เชจเซ‹ เชคเชซเชพเชตเชค เช…เชจเซเชญเชตเชตเชพ เชฎเชพเชŸเซ‡, เชšเชพเชฒเซ‹ Nexus IQ เชฆเซเชตเชพเชฐเชพ เชคเซ‡ เชœ เชฐเซ€เชคเซ‡ เชธเซเช•เซ‡เชจ เช•เชฐเซ€เช. เชฎเซ‡เชตเซ‡เชจ เชชเซเชฒเช—เช‡เชจ, NexusIQ เช‡เชจเซเชŸเชฐเชซเซ‡เชธเชฎเชพเช‚ เช…เช—เชพเช‰ เชเช• เชชเชฐเซ€เช•เซเชทเชฃ เชเชชเซเชฒเชฟเช•เซ‡เชถเชจ เชฌเชจเชพเชตเซ€ เช›เซ‡ dvja-test-and-compare:

mvn com.sonatype.clm:clm-maven-plugin:evaluate -Dclm.applicationId=dvja-test-and-compare -Dclm.serverUrl=<NEXUSIQIP> -Dclm.username=<USERNAME> -Dclm.password=<PASSWORD>

IQ เชตเซ‡เชฌ เชˆเชจเซเชŸเชฐเชซเซ‡เชธเชฎเชพเช‚ เชœเชจเชฐเซ‡เชŸ เชฅเชฏเซ‡เชฒ เชฐเชฟเชชเซ‹เชฐเซเชŸ เชฎเชพเชŸเซ‡ URL เชจเซ‡ เช…เชจเซเชธเชฐเซ‹:

DevSecOps: เช•เชพเชฎเช—เซ€เชฐเซ€เชจเชพ เชธเชฟเชฆเซเชงเชพเช‚เชคเซ‹ เช…เชจเซ‡ SCA เชจเซ€ เชธเชฐเช–เชพเชฎเชฃเซ€. เชญเชพเช— เชเช•

เช…เชนเซ€เช‚ เชคเชฎเซ‡ เชตเชฟเชตเชฟเชง เชฎเชนเชคเซเชตเชจเชพ เชธเซเชคเชฐเซ‹ (เชฎเชพเชนเชฟเชคเซ€เชฅเซ€ เชฒเชˆเชจเซ‡ เชธเซเชฐเช•เซเชทเชพ เชœเชŸเชฟเชฒ เชธเซเชงเซ€) เชฆเชฐเซเชถเชพเชตเชคเซ€ เชคเชฎเชพเชฎ เชจเซ€เชคเชฟ เช‰เชฒเซเชฒเช‚เช˜เชจเซ‹ เชœเซ‹เชˆ เชถเช•เซ‹ เช›เซ‹. เช˜เชŸเช•เชจเซ€ เชฌเชพเชœเซเชฎเชพเช‚ เช…เช•เซเชทเชฐ Dเชจเซ‹ เช…เชฐเซเชฅ เช เชฅเชพเชฏ เช›เซ‡ เช•เซ‡ เช˜เชŸเช• เชธเซ€เชงเซ€ เชจเชฟเชฐเซเชญเชฐเชคเชพ เช›เซ‡, เช…เชจเซ‡ เช˜เชŸเช•เชจเซ€ เชฌเชพเชœเซเชฎเชพเช‚ เช…เช•เซเชทเชฐ Tเชจเซ‹ เช…เชฐเซเชฅ เช เช›เซ‡ เช•เซ‡ เช˜เชŸเช• เชŸเซเชฐเชพเชจเซเชเชฟเชŸเชฟเชต เชกเชฟเชชเซ‡เชจเซเชกเชจเซเชธเซ€ เช›เซ‡, เชเชŸเชฒเซ‡ เช•เซ‡, เชคเซ‡ เชŸเซเชฐเชพเชจเซเชเชฟเชŸเชฟเชต เช›เซ‡.

เชฎเชพเชฐเซเช— เชฆเซเชตเชพเชฐเชพ, เช…เชนเซ‡เชตเชพเชฒ เชธเซเชŸเซ‡เชŸ เช“เชซ เช“เชชเชจ เชธเซ‹เชฐเซเชธ เชธเชฟเช•เซเชฏเซเชฐเชฟเชŸเซ€ เชฐเชฟเชชเซ‹เชฐเซเชŸ 2020 Snyk เชฎเชพเช‚เชฅเซ€ เช…เชนเซ‡เชตเชพเชฒ เช†เชชเซ‡ เช›เซ‡ เช•เซ‡ Node.js, Java เช…เชจเซ‡ Ruby เชฎเชพเช‚ เชถเซ‹เชงเชพเชฏเซ‡เชฒ 70% เชฅเซ€ เชตเชงเซ เช“เชชเชจ เชธเซ‹เชฐเซเชธ เชจเชฌเชณเชพเชˆเช“ เชŸเซเชฐเชพเชจเซเชเชฟเชŸเชฟเชต เชกเชฟเชชเซ‡เชจเซเชกเชจเซเชธเซ€เชฎเชพเช‚ เช›เซ‡.

เชœเซ‹ เช†เชชเชฃเซ‡ Nexus IQ เชจเซ€เชคเชฟเชจเชพ เช‰เชฒเซเชฒเช‚เช˜เชจเซ‹เชฎเชพเช‚เชฅเซ€ เชเช• เช–เซ‹เชฒเซ€เช, เชคเซ‹ เช…เชฎเซ‡ เช˜เชŸเช•เชจเซเช‚ เชตเชฐเซเชฃเชจ, เชคเซ‡เชฎเชœ เชตเชฐเซเชเชจ เช—เซเชฐเชพเชซ เชœเซ‹เชˆ เชถเช•เซ€เช เช›เซ€เช, เชœเซ‡ เชธเชฎเชฏเชจเชพ เช—เซเชฐเชพเชซเชฎเชพเช‚ เชตเชฐเซเชคเชฎเชพเชจ เชธเช‚เชธเซเช•เชฐเชฃเชจเซเช‚ เชธเซเชฅเชพเชจ เชฌเชคเชพเชตเซ‡ เช›เซ‡, เชคเซ‡เชฎเชœ เชจเชฌเชณเชพเชˆ เช•เชฏเชพ เชฌเชฟเช‚เชฆเซเช เชฌเช‚เชง เชฅเชพเชฏ เช›เซ‡. เชธเช‚เชตเซ‡เชฆเชจเชถเซ€เชฒ เชฌเชจเซ‹. เช—เซเชฐเชพเชซ เชชเชฐ เชฎเซ€เชฃเชฌเชคเซเชคเซ€เช“เชจเซ€ เชŠเช‚เชšเชพเชˆ เช† เช˜เชŸเช•เชจเซ‹ เช‰เชชเชฏเซ‹เช— เช•เชฐเชตเชพเชจเซ€ เชฒเซ‹เช•เชชเซเชฐเชฟเชฏเชคเชพ เชฆเชฐเซเชถเชพเชตเซ‡ เช›เซ‡.

DevSecOps: เช•เชพเชฎเช—เซ€เชฐเซ€เชจเชพ เชธเชฟเชฆเซเชงเชพเช‚เชคเซ‹ เช…เชจเซ‡ SCA เชจเซ€ เชธเชฐเช–เชพเชฎเชฃเซ€. เชญเชพเช— เชเช•

เชœเซ‹ เชคเชฎเซ‡ เชจเชฌเชณเชพเชˆเช“ เชตเชฟเชญเชพเช—เชฎเชพเช‚ เชœเชพเช“ เช…เชจเซ‡ CVE เชจเซ‡ เชตเชฟเชธเซเชคเซƒเชค เช•เชฐเซ‹, เชคเซ‹ เชคเชฎเซ‡ เช† เชจเชฌเชณเชพเชˆเชจเซเช‚ เชตเชฐเซเชฃเชจ, เชฆเซ‚เชฐ เช•เชฐเชตเชพ เชฎเชพเชŸเซ‡เชจเซ€ เชญเชฒเชพเชฎเชฃเซ‹ เชคเซ‡เชฎเชœ เช† เช˜เชŸเช•เชจเซเช‚ เช‰เชฒเซเชฒเช‚เช˜เชจ เช•เซ‡เชฎ เชฅเชฏเซเช‚ เชนเชคเซเช‚ เชคเซ‡เชจเซเช‚ เช•เชพเชฐเชฃ, เชเชŸเชฒเซ‡ เช•เซ‡ เชตเชฐเซเช—เชจเซ€ เชนเชพเชœเชฐเซ€ เชตเชพเช‚เชšเซ€ เชถเช•เซ‹ เช›เซ‹. DiskFileitem.class.

DevSecOps: เช•เชพเชฎเช—เซ€เชฐเซ€เชจเชพ เชธเชฟเชฆเซเชงเชพเช‚เชคเซ‹ เช…เชจเซ‡ SCA เชจเซ€ เชธเชฐเช–เชพเชฎเชฃเซ€. เชญเชพเช— เชเช•

DevSecOps: เช•เชพเชฎเช—เซ€เชฐเซ€เชจเชพ เชธเชฟเชฆเซเชงเชพเช‚เชคเซ‹ เช…เชจเซ‡ SCA เชจเซ€ เชธเชฐเช–เชพเชฎเชฃเซ€. เชญเชพเช— เชเช•

เชšเชพเชฒเซ‹ js เช˜เชŸเช•เซ‹เชจเซ‡ เชฆเซ‚เชฐ เช•เชฐเซ€เชจเซ‡, เชคเซƒเชคเซ€เชฏ-เชชเช•เซเชท เชœเชพเชตเชพ เช˜เชŸเช•เซ‹เชฅเซ€ เชธเช‚เชฌเช‚เชงเชฟเชค เชฎเชพเชคเซเชฐ เชธเชพเชฐเชพเช‚เชถ เช†เชชเซ€เช. เช•เซŒเช‚เชธเชฎเชพเช‚ เช…เชฎเซ‡ เชจเชฌเชณเชพเชˆเช“เชจเซ€ เชธเช‚เช–เซเชฏเชพ เชธเซ‚เชšเชตเซ€เช เช›เซ€เช เชœเซ‡ NVD เชจเซ€ เชฌเชนเชพเชฐ เชœเซ‹เชตเชพ เชฎเชณเซ€ เชนเชคเซ€.

เช•เซเชฒ Nexus IQ:

  • เชจเชฟเชฐเซเชญเชฐเชคเชพเช“ เชธเซเช•เซ‡เชจ เช•เชฐเซ‡เชฒ: 62
  • เชธเช‚เชตเซ‡เชฆเชจเชถเซ€เชฒ เช…เชตเชฒเช‚เชฌเชจ: 16
  • เชจเชฌเชณเชพเชˆเช“ เชฎเชณเซ€: 42 (8 เชธเซ‹เชจเชพเชŸเชพเชˆเชช เชกเซ€เชฌเซ€)

เช•เซเชฒ เชจเชฟเชฐเซเชญเชฐเชคเชพ เชคเชชเชพเชธ:

  • เชจเชฟเชฐเซเชญเชฐเชคเชพเช“ เชธเซเช•เซ‡เชจ เช•เชฐเซ‡เชฒ: 47
  • เชธเช‚เชตเซ‡เชฆเชจเชถเซ€เชฒ เช…เชตเชฒเช‚เชฌเชจ: 13
  • เชจเชฌเชณเชพเชˆเช“ เชฎเชณเซ€: 91 (14 เชธเซ‹เชจเชพเชŸเชพเชˆเชช เช“เชเชธเชเชธ)

เช•เซเชฒ เชจเชฟเชฐเซเชญเชฐเชคเชพ เชŸเซเชฐเซ‡เช•:

  • เชจเชฟเชฐเซเชญเชฐเชคเชพเช“ เชธเซเช•เซ‡เชจ เช•เชฐเซ‡เชฒ: 59
  • เชธเช‚เชตเซ‡เชฆเชจเชถเซ€เชฒ เช…เชตเชฒเช‚เชฌเชจ: 10
  • เชจเชฌเชณเชพเชˆเช“ เชฎเชณเซ€: 51 (1 เชธเซ‹เชจเชพเชŸเชพเชˆเชช เช“เชเชธเชเชธ)

เช†เช—เชณเชจเชพ เชชเช—เชฒเชพเช“เชฎเชพเช‚, เช…เชฎเซ‡ เชชเซเชฐเชพเชชเซเชค เชชเชฐเชฟเชฃเชพเชฎเซ‹เชจเซเช‚ เชตเชฟเชถเซเชฒเซ‡เชทเชฃ เช•เชฐเซ€เชถเซเช‚ เช…เชจเซ‡ เช†เชฎเชพเช‚เชฅเซ€ เช•เชˆ เชจเชฌเชณเชพเชˆเช“ เชตเชพเชธเซเชคเชตเชฟเช• เช–เชพเชฎเซ€ เช›เซ‡ เช…เชจเซ‡ เช•เชˆ เช–เซ‹เชŸเซ€ เชนเช•เชพเชฐเชพเชคเซเชฎเช• เช›เซ‡ เชคเซ‡ เชถเซ‹เชงเซ€ เช•เชพเชขเซ€เชถเซเช‚.

เช…เชธเซเชตเซ€เช•เชฐเชฃ

เช† เชธเชฎเซ€เช•เซเชทเชพ เชจเชฟเชฐเซเชตเชฟเชตเชพเชฆ เชธเชคเซเชฏ เชจเชฅเซ€. เชฒเซ‡เช–เช• เชชเชพเชธเซ‡ เช…เชจเซเชฏเชจเซ€ เชชเซƒเชทเซเช เชญเซ‚เชฎเชฟ เชธเชพเชฎเซ‡ เชเช• เช…เชฒเช— เชธเชพเชงเชจเชจเซ‡ เชชเซเชฐเช•เชพเชถเชฟเชค เช•เชฐเชตเชพเชจเซ‹ เชงเซเชฏเซ‡เชฏ เชจเชนเซ‹เชคเซ‹. เชธเชฎเซ€เช•เซเชทเชพเชจเซ‹ เชนเซ‡เชคเซ SCA เชŸเซ‚เชฒเซเชธเชจเชพ เชธเช‚เชšเชพเชฒเชจเชจเซ€ เชชเชฆเซเชงเชคเชฟเช“ เช…เชจเซ‡ เชคเซ‡เชฎเชจเชพ เชชเชฐเชฟเชฃเชพเชฎเซ‹ เชคเชชเชพเชธเชตเชพเชจเซ€ เชฐเซ€เชคเซ‹ เชฌเชคเชพเชตเชตเชพเชจเซ‹ เชนเชคเซ‹.

เชชเชฐเชฟเชฃเชพเชฎเซ‹เชจเซ€ เชธเชฐเช–เชพเชฎเชฃเซ€

เชถเชฐเชคเซ‹:

เชคเซƒเชคเซ€เชฏ-เชชเช•เซเชท เช˜เชŸเช• เชจเชฌเชณเชพเชˆเช“ เชฎเชพเชŸเซ‡ เช–เซ‹เชŸเชพ เชนเช•เชพเชฐเชพเชคเซเชฎเช• เช›เซ‡:

  • เช“เชณเช–เชพเชฏเซ‡เชฒ เช˜เชŸเช• เชธเชพเชฅเซ‡ CVE เชฎเซ‡เชณ เช–เชพเชคเซเช‚ เชจเชฅเซ€
  • เช‰เชฆเชพเชนเชฐเชฃ เชคเชฐเซ€เช•เซ‡, เชœเซ‹ เชธเซเชŸเซเชฐเชŸเซเชธ2 เชซเซเชฐเซ‡เชฎเชตเชฐเซเช•เชฎเชพเช‚ เชจเชฌเชณเชพเชˆ เช“เชณเช–เชตเชพเชฎเชพเช‚ เช†เชตเซ‡ เช›เซ‡, เช…เชจเซ‡ เชŸเซ‚เชฒ เชธเซเชŸเซเชฐเชŸเซเชธ-เชŸเชพเชˆเชฒเซเชธ เชซเซเชฐเซ‡เชฎเชตเชฐเซเช•เชจเชพ เชเช• เช˜เชŸเช• เชคเชฐเชซ เชจเชฟเชฐเซเชฆเซ‡เชถ เช•เชฐเซ‡ เช›เซ‡, เชœเซ‡เชจเชพ เชชเชฐ เช† เชจเชฌเชณเชพเชˆ เชฒเชพเช—เซ เชชเชกเชคเซ€ เชจเชฅเซ€, เชคเซ‹ เช† เช–เซ‹เชŸเซ€ เชนเช•เชพเชฐเชพเชคเซเชฎเช• เช›เซ‡.
  • เช˜เชŸเช•เชจเชพ เช“เชณเช–เชพเชฏเซ‡เชฒ เชธเช‚เชธเซเช•เชฐเชฃ เชธเชพเชฅเซ‡ CVE เชฎเซ‡เชณ เช–เชพเชคเซเช‚ เชจเชฅเซ€
  • เช‰เชฆเชพเชนเชฐเชฃ เชคเชฐเซ€เช•เซ‡, เชจเชฌเชณเชพเชˆ python เชตเชฐเซเชเชจ > 3.5 เชธเชพเชฅเซ‡ เชœเซ‹เชกเชพเชฏเซ‡เชฒเซ€ เช›เซ‡ เช…เชจเซ‡ เชŸเซ‚เชฒ เชตเชฐเซเชเชจ 2.7 เชจเซ‡ เชธเช‚เชตเซ‡เชฆเชจเชถเซ€เชฒ เชคเชฐเซ€เช•เซ‡ เชšเชฟเชนเซเชจเชฟเชค เช•เชฐเซ‡ เช›เซ‡ - เช† เช–เซ‹เชŸเชพ เชนเช•เชพเชฐเชพเชคเซเชฎเช• เช›เซ‡, เช•เชพเชฐเชฃ เช•เซ‡ เชตเชพเชธเซเชคเชตเชฎเชพเช‚ เชจเชฌเชณเชพเชˆ เชฎเชพเชคเซเชฐ 3.x เช‰เชคเซเชชเชพเชฆเชจ เชถเชพเช–เชพเชจเซ‡ เชœ เชฒเชพเช—เซ เชชเชกเซ‡ เช›เซ‡.
  • เชกเซเชชเซเชฒเชฟเช•เซ‡เชŸ CVE
  • เช‰เชฆเชพเชนเชฐเชฃ เชคเชฐเซ€เช•เซ‡, เชœเซ‹ SCA เช CVE เชจเซ‹ เช‰เชฒเซเชฒเซ‡เช– เช•เชฐเซ‡ เช›เซ‡ เชœเซ‡ RCE เชจเซ‡ เชธเช•เซเชทเชฎ เช•เชฐเซ‡ เช›เซ‡, เชคเซ‹ SCA เชคเซ‡ เชœ เช˜เชŸเช• เชฎเชพเชŸเซ‡ CVE เชจเซ‹ เช‰เชฒเซเชฒเซ‡เช– เช•เชฐเซ‡ เช›เซ‡ เชœเซ‡ เชคเซ‡ RCE เชฆเซเชตเชพเชฐเชพ เชชเซเชฐเชญเชพเชตเชฟเชค เชธเชฟเชธเซเช•เซ‹ เช‰เชคเซเชชเชพเชฆเชจเซ‹เชจเซ‡ เชฒเชพเช—เซ เชชเชกเซ‡ เช›เซ‡. เช† เช•เชฟเชธเซเชธเชพเชฎเชพเช‚ เชคเซ‡ เช–เซ‹เชŸเชพ เชนเช•เชพเชฐเชพเชคเซเชฎเช• เชนเชถเซ‡.
  • เช‰เชฆเชพเชนเชฐเชฃ เชคเชฐเซ€เช•เซ‡, เชธเซเชชเซเชฐเชฟเช‚เช—-เชตเซ‡เชฌ เช•เชฎเซเชชเซ‹เชจเชจเซเชŸเชฎเชพเช‚ CVE เชฎเชณเซ€ เช†เชตเซเชฏเซเช‚ เชนเชคเซเช‚, เชœเซ‡ เชชเช›เซ€ SCA เช เชธเซเชชเซเชฐเชฟเช‚เช— เชซเซเชฐเซ‡เชฎเชตเชฐเซเช•เชจเชพ เช…เชจเซเชฏ เช˜เชŸเช•เซ‹เชฎเชพเช‚ เชธเชฎเชพเชจ CVE เชคเชฐเชซ เชจเชฟเชฐเซเชฆเซ‡เชถ เช•เชฐเซ‡ เช›เซ‡, เชœเซเชฏเชพเชฐเซ‡ CVE เชจเซ‡ เช…เชจเซเชฏ เช˜เชŸเช•เซ‹ เชธเชพเชฅเซ‡ เช•เซ‹เชˆ เชฒเซ‡เชตเชพเชฆเซ‡เชตเชพ เชจเชฅเซ€. เช† เช•เชฟเชธเซเชธเชพเชฎเชพเช‚ เชคเซ‡ เช–เซ‹เชŸเชพ เชนเช•เชพเชฐเชพเชคเซเชฎเช• เชนเชถเซ‡.

เช…เชญเซเชฏเชพเชธเชจเซ‹ เช‰เชฆเซเชฆเซ‡เชถ เช“เชชเชจ เชธเซ‹เชฐเซเชธ เชชเซเชฐเซ‹เชœเซ‡เช•เซเชŸ DVJA เชนเชคเซ‹. เช…เชญเซเชฏเชพเชธเชฎเชพเช‚ เชฎเชพเชคเซเชฐ เชœเชพเชตเชพ เช˜เชŸเช•เซ‹ เชธเชพเชฎเซ‡เชฒ เชนเชคเชพ (เชœเซ‡เชเชธ เชตเชฟเชจเชพ).

เชธเชพเชฐเชพเช‚เชถ เชชเชฐเชฟเชฃเชพเชฎเซ‹

เชšเชพเชฒเซ‹ เช“เชณเช–เชพเชฏเซ‡เชฒ เชจเชฌเชณเชพเชˆเช“เชจเซ€ เชฎเซ‡เชจเซเชฏเซเช…เชฒ เชธเชฎเซ€เช•เซเชทเชพเชจเชพ เชชเชฐเชฟเชฃเชพเชฎเซ‹ เชชเชฐ เชธเซ€เชงเชพ เชœเชˆเช. เชฆเชฐเซ‡เช• CVE เชฎเชพเชŸเซ‡เชจเซ‹ เชธเช‚เชชเซ‚เชฐเซเชฃ เช…เชนเซ‡เชตเชพเชฒ เชชเชฐเชฟเชถเชฟเชทเซเชŸเชฎเชพเช‚ เชฎเชณเซ€ เชถเช•เซ‡ เช›เซ‡.

เชคเชฎเชพเชฎ เชจเชฌเชณเชพเชˆเช“ เชฎเชพเชŸเซ‡ เชธเชพเชฐเชพเช‚เชถ เชชเชฐเชฟเชฃเชพเชฎเซ‹:

เชชเซ‡เชฐเชพเชฎเซ€เชŸเชฐ
Nexus IQ
เชจเชฟเชฐเซเชญเชฐเชคเชพ เชคเชชเชพเชธ
เชจเชฟเชฐเซเชญเชฐเชคเชพ เชŸเซเชฐเซ‡เช•

เช•เซเชฒ เชจเชฌเชณเชพเชˆเช“ เช“เชณเช–เชพเชˆ
42
91
51

เช–เซ‹เชŸเซ€ เชฐเซ€เชคเซ‡ เช“เชณเช–เชพเชฏเซ‡เชฒ เชจเชฌเชณเชพเชˆเช“ (เช–เซ‹เชŸเซ€ เชนเช•เชพเชฐเชพเชคเซเชฎเช•)
2 (4.76%)
62 (68,13%)
29 (56.86%)

เช•เซ‹เชˆ เชธเช‚เชฌเช‚เชงเชฟเชค เชจเชฌเชณเชพเชˆเช“ เชฎเชณเซ€ เชจเชฅเซ€ (เช–เซ‹เชŸเซ€ เชจเช•เชพเชฐเชพเชคเซเชฎเช•)
10
20
27

เช˜เชŸเช• เชฆเซเชตเชพเชฐเชพ เชธเชพเชฐเชพเช‚เชถ เชชเชฐเชฟเชฃเชพเชฎเซ‹:

เชชเซ‡เชฐเชพเชฎเซ€เชŸเชฐ
Nexus IQ
เชจเชฟเชฐเซเชญเชฐเชคเชพ เชคเชชเชพเชธ
เชจเชฟเชฐเซเชญเชฐเชคเชพ เชŸเซเชฐเซ‡เช•

เช•เซเชฒ เช˜เชŸเช•เซ‹ เช“เชณเช–เชพเชฏเชพ
62
47
59

เช•เซเชฒ เชธเช‚เชตเซ‡เชฆเชจเชถเซ€เชฒ เช˜เชŸเช•เซ‹
16
13
10

เช…เชฏเซ‹เช—เซเชฏ เชฐเซ€เชคเซ‡ เช“เชณเช–เชพเชฏเซ‡เชฒเชพ เชจเชฌเชณเชพ เช˜เชŸเช•เซ‹ (เช–เซ‹เชŸเชพ เชนเช•เชพเชฐเชพเชคเซเชฎเช•)
1
5
0

เช…เชฏเซ‹เช—เซเชฏ เชฐเซ€เชคเซ‡ เช“เชณเช–เชพเชฏเซ‡เชฒเชพ เชจเชฌเชณเชพ เช˜เชŸเช•เซ‹ (เช–เซ‹เชŸเชพ เชนเช•เชพเชฐเชพเชคเซเชฎเช•)
0
6
6

เชšเชพเชฒเซ‹ เชจเชฌเชณเชพเชˆเช“เชจเซ€ เช•เซเชฒ เชธเช‚เช–เซเชฏเชพ เชธเชพเชฅเซ‡ เช–เซ‹เชŸเชพ เชนเช•เชพเชฐเชพเชคเซเชฎเช• เช…เชจเซ‡ เช–เซ‹เชŸเชพ เชจเช•เชพเชฐเชพเชคเซเชฎเช•เชจเชพ เช—เซเชฃเซ‹เชคเซเชคเชฐเชจเซเช‚ เชฎเซ‚เชฒเซเชฏเชพเช‚เช•เชจ เช•เชฐเชตเชพ เชฎเชพเชŸเซ‡ เชตเชฟเชเซเชฏเซเช…เชฒ เช—เซเชฐเชพเชซ เชฌเชจเชพเชตเซ€เช. เช˜เชŸเช•เซ‹เชจเซ‡ เช†เชกเชพ เชšเชฟเชนเซเชจเชฟเชค เช•เชฐเชตเชพเชฎเชพเช‚ เช†เชตเซ‡ เช›เซ‡, เช…เชจเซ‡ เชคเซ‡เชฎเชพเช‚ เช“เชณเช–เชพเชฏเซ‡เชฒเซ€ เชจเชฌเชณเชพเชˆเช“เชจเซ‡ เชŠเชญเซ€ เชฐเซ€เชคเซ‡ เชšเชฟเชนเซเชจเชฟเชค เช•เชฐเชตเชพเชฎเชพเช‚ เช†เชตเซ‡ เช›เซ‡.

DevSecOps: เช•เชพเชฎเช—เซ€เชฐเซ€เชจเชพ เชธเชฟเชฆเซเชงเชพเช‚เชคเซ‹ เช…เชจเซ‡ SCA เชจเซ€ เชธเชฐเช–เชพเชฎเชฃเซ€. เชญเชพเช— เชเช•

DevSecOps: เช•เชพเชฎเช—เซ€เชฐเซ€เชจเชพ เชธเชฟเชฆเซเชงเชพเช‚เชคเซ‹ เช…เชจเซ‡ SCA เชจเซ€ เชธเชฐเช–เชพเชฎเชฃเซ€. เชญเชพเช— เชเช•

DevSecOps: เช•เชพเชฎเช—เซ€เชฐเซ€เชจเชพ เชธเชฟเชฆเซเชงเชพเช‚เชคเซ‹ เช…เชจเซ‡ SCA เชจเซ€ เชธเชฐเช–เชพเชฎเชฃเซ€. เชญเชพเช— เชเช•

เชธเชฐเช–เชพเชฎเชฃเซ€ เชฎเชพเชŸเซ‡, เชธเซ‹เชจเชพเชŸเชพเช‡เชช เชŸเซ€เชฎ เชฆเซเชตเชพเชฐเชพ OWASP เชกเชฟเชชเซ‡เชจเซเชกเชจเซเชธเซ€ เชšเซ‡เช•เชจเซ‹ เช‰เชชเชฏเซ‹เช— เช•เชฐเซ€เชจเซ‡ 1531 เช˜เชŸเช•เซ‹เชจเชพ เชชเซเชฐเซ‹เชœเซ‡เช•เซเชŸเชจเซเช‚ เชชเชฐเซ€เช•เซเชทเชฃ เช•เชฐเชคเซ€ เชธเชฎเชพเชจ เช…เชญเซเชฏเชพเชธ เชนเชพเชฅ เชงเชฐเชตเชพเชฎเชพเช‚ เช†เชตเซเชฏเซ‹ เชนเชคเซ‹. เชœเซ‡เชฎ เช†เชชเชฃเซ‡ เชœเซ‹เชˆ เชถเช•เซ€เช เช›เซ€เช, เชธเชพเชšเชพ เชœเชตเชพเชฌเซ‹ เชฎเชพเชŸเซ‡ เช…เชตเชพเชœเชจเซ‹ เช—เซเชฃเซ‹เชคเซเชคเชฐ เช…เชฎเชพเชฐเชพ เชชเชฐเชฟเชฃเชพเชฎเซ‹ เชธเชพเชฅเซ‡ เชคเซเชฒเชจเชพเชคเซเชฎเช• เช›เซ‡.

DevSecOps: เช•เชพเชฎเช—เซ€เชฐเซ€เชจเชพ เชธเชฟเชฆเซเชงเชพเช‚เชคเซ‹ เช…เชจเซ‡ SCA เชจเซ€ เชธเชฐเช–เชพเชฎเชฃเซ€. เชญเชพเช— เชเช•
เชธเซ‹เชฐเซเชธ: www.sonatype.com/why-precision-matters-ebook

เชšเชพเชฒเซ‹ เช† เชชเชฐเชฟเชฃเชพเชฎเซ‹เชจเซเช‚ เช•เชพเชฐเชฃ เชธเชฎเชœเชตเชพ เชฎเชพเชŸเซ‡ เช…เชฎเชพเชฐเชพ เชธเซเช•เซ‡เชจ เชชเชฐเชฟเชฃเชพเชฎเซ‹เชฎเชพเช‚เชฅเซ€ เช•เซ‡เชŸเชฒเชพเช• CVE เชœเซ‹เชˆเช.

เชตเชงเซ เชตเชพเช‚เชšเซ‹

เชจเชพ .1

เชšเชพเชฒเซ‹ เชชเชนเซ‡เชฒเชพ Sonatype Nexus IQ เชตเชฟเชถเซ‡เชจเชพ เช•เซ‡เชŸเชฒเชพเช• เชฐเชธเชชเซเชฐเชฆ เชฎเซเชฆเซเชฆเชพเช“ เชœเซ‹เชˆเช.

Nexus IQ เชธเซเชชเซเชฐเชฟเช‚เช— เชซเซเชฐเซ‡เชฎเชตเชฐเซเช•เชฎเชพเช‚ เช˜เชฃเซ€ เชตเช–เชค RCE เช•เชฐเชตเชพเชจเซ€ เช•เซเชทเชฎเชคเชพ เชธเชพเชฅเซ‡ เชกเซ€เชธเซ€เชฐเชฟเชฏเชฒเชพเชˆเชเซ‡เชถเชจเชจเซ€ เชธเชฎเชธเซเชฏเชพ เชฆเชฐเซเชถเชพเชตเซ‡ เช›เซ‡. เชตเชธเช‚เชค-เชตเซ‡เชฌเชฎเชพเช‚ CVE-2016-1000027: 3.0.5 เชชเซเชฐเชฅเชฎ เชตเช–เชค, เช…เชจเซ‡ CVE-2011-2894 เชตเชธเช‚เชค-เชธเช‚เชฆเชฐเซเชญเชฎเชพเช‚:3.0.5 เช…เชจเซ‡ เชตเชธเช‚เชค-เช•เซ‹เชฐ:3.0.5. เชถเชฐเซ‚เช†เชคเชฎเชพเช‚, เชเชตเซเช‚ เชฒเชพเช—เซ‡ เช›เซ‡ เช•เซ‡ เชฌเชนเซเชตเชฟเชง CVE เชฎเชพเช‚ เชจเชฌเชณเชพเชˆเชจเซเช‚ เชกเซเชชเซเชฒเชฟเช•เซ‡เชถเชจ เช›เซ‡. เช•เชพเชฐเชฃ เช•เซ‡, เชœเซ‹ เชคเชฎเซ‡ NVD เชกเซ‡เชŸเชพเชฌเซ‡เชเชฎเชพเช‚ CVE-2016-1000027 เช…เชจเซ‡ CVE-2011-2894 เชœเซเช“, เชคเซ‹ เชเชตเซเช‚ เชฒเชพเช—เซ‡ เช›เซ‡ เช•เซ‡ เชฌเชงเซเช‚ เชธเซเชชเชทเซเชŸ เช›เซ‡

เช˜เชŸเช•
เชจเชฌเชณเชพเช‡

spring-web:3.0.5
CVE-2016-1000027

เชตเชธเช‚เชค-เชธเช‚เชฆเชฐเซเชญ:3.0.5
CVE-2011-2894

เชธเซเชชเซเชฐเชฟเช‚เช—-เช•เซ‹เชฐ:3.0.5
CVE-2011-2894

เชตเชฐเซเชฃเชจ CVE-2011-2894 NVD เชคเชฐเชซเชฅเซ€:
DevSecOps: เช•เชพเชฎเช—เซ€เชฐเซ€เชจเชพ เชธเชฟเชฆเซเชงเชพเช‚เชคเซ‹ เช…เชจเซ‡ SCA เชจเซ€ เชธเชฐเช–เชพเชฎเชฃเซ€. เชญเชพเช— เชเช•

เชตเชฐเซเชฃเชจ CVE-2016-1000027 NVD เชคเชฐเชซเชฅเซ€:
DevSecOps: เช•เชพเชฎเช—เซ€เชฐเซ€เชจเชพ เชธเชฟเชฆเซเชงเชพเช‚เชคเซ‹ เช…เชจเซ‡ SCA เชจเซ€ เชธเชฐเช–เชพเชฎเชฃเซ€. เชญเชพเช— เชเช•

CVE-2011-2894 เชชเซ‹เชคเซ‡ เช–เซ‚เชฌ เชชเซเชฐเช–เซเชฏเชพเชค เช›เซ‡. เช…เชนเซ‡เชตเชพเชฒเชฎเชพเช‚ เชตเซเชนเชพเช‡เชŸ เชธเซ‹เชฐเซเชธ 2011 เช† CVE เชธเซŒเชฅเซ€ เชธเชพเชฎเชพเชจเซเชฏ เชคเชฐเซ€เช•เซ‡ เช“เชณเช–เชตเชพเชฎเชพเช‚ เช†เชตเซเชฏเซเช‚ เชนเชคเซเช‚. CVE-2016-100027 เชฎเชพเชŸเซ‡เชจเชพ เชตเชฐเซเชฃเชจเซ‹, เชธเซˆเชฆเซเชงเชพเช‚เชคเชฟเช• เชฐเซ€เชคเซ‡, NVDเชฎเชพเช‚ เช“เช›เชพ เช›เซ‡, เช…เชจเซ‡ เชคเซ‡ เชซเช•เซเชค เชธเซเชชเซเชฐเชฟเช‚เช— เชซเซเชฐเซ‡เชฎเชตเชฐเซเช• 4.1.4 เชฎเชพเชŸเซ‡ เชœ เชฒเชพเช—เซ เชชเชกเซ‡ เช›เซ‡. เชšเชพเชฒเซ‹ เชเช• เชจเชœเชฐ เช•เชฐเซ€เช เชธเช‚เชฆเชฐเซเชญ เช…เชจเซ‡ เช…เชนเซ€เช‚ เชฌเชงเซเช‚ เชตเชงเซ เช•เซ‡ เช“เช›เซเช‚ เชธเซเชชเชทเซเชŸ เชฌเชจเซ‡ เช›เซ‡. เชฅเซ€ เชŸเซ‡เชจเซ‡เชฌเชฒ เชฒเซ‡เช–เซ‹ เช…เชฎเซ‡ เชธเชฎเชœเซ€เช เช›เซ€เช เช•เซ‡ เชฎเชพเช‚ เชจเชฌเชณเชพเชˆ เช‰เชชเชฐเชพเช‚เชค RemoteInvocationSerializingExporter CVE-2011-2894 เชฎเชพเช‚, เชจเชฌเชณเชพเชˆ เชœเซ‹เชตเชพ เชฎเชณเซ‡ เช›เซ‡ HttpInvokerServiceExporter. เช† เชคเซ‡ เช›เซ‡ เชœเซ‡ Nexus IQ เช…เชฎเชจเซ‡ เช•เชนเซ‡ เช›เซ‡:

DevSecOps: เช•เชพเชฎเช—เซ€เชฐเซ€เชจเชพ เชธเชฟเชฆเซเชงเชพเช‚เชคเซ‹ เช…เชจเซ‡ SCA เชจเซ€ เชธเชฐเช–เชพเชฎเชฃเซ€. เชญเชพเช— เชเช•

เชœเซ‹ เช•เซ‡, NVDเชฎเชพเช‚ เช†เชตเซเช‚ เช•เช‚เชˆ เชจเชฅเซ€, เชคเซ‡เชฅเซ€ เชœ เชกเชฟเชชเซ‡เชจเซเชกเชจเซเชธเซ€ เชšเซ‡เช• เช…เชจเซ‡ เชกเชฟเชชเซ‡เชจเซเชกเชจเซเชธเซ€ เชŸเซเชฐเซ…เช• เชฆเชฐเซ‡เช•เชจเซ‡ เช–เซ‹เชŸเชพ เชจเซ‡เช—เซ‡เชŸเชฟเชต เชฎเชณเซ‡ เช›เซ‡.

CVE-2011-2894 เชจเชพ เชตเชฐเซเชฃเชจ เชชเชฐเชฅเซ€ เชชเชฃ เชธเชฎเชœเซ€ เชถเช•เชพเชฏ เช›เซ‡ เช•เซ‡ เชจเชฌเชณเชพเชˆ เช–เชฐเซ‡เช–เชฐ เชตเชธเช‚เชค-เชธเช‚เชฆเชฐเซเชญ:3.0.5 เช…เชจเซ‡ เชตเชธเช‚เชค-เช•เซ‹เชฐ:3.0.5 เชฌเช‚เชจเซ‡เชฎเชพเช‚ เชนเชพเชœเชฐ เช›เซ‡. เช†เชจเซ€ เชชเซเชทเซเชŸเชฟ เช เชตเซเชฏเช•เซเชคเชฟเชจเชพ เชฒเซ‡เช–เชฎเชพเช‚ เชฎเชณเซ€ เชถเช•เซ‡ เช›เซ‡ เชœเซ‡เชจเซ‡ เช† เชจเชฌเชณเชพเชˆ เชฎเชณเซ€ เช›เซ‡.

เชจเชพ .2

เช˜เชŸเช•
เชจเชฌเชณเชพเช‡
เชชเชฐเชฟเชฃเชพเชฎ

struts2-core:2.3.30
CVE-2016-4003
เช–เซ‹เชŸเซเช‚

เชœเซ‹ เช†เชชเชฃเซ‡ เชจเชฌเชณเชพเชˆ CVE-2016-4003 เชจเซ‹ เช…เชญเซเชฏเชพเชธ เช•เชฐเซ€เชถเซเช‚, เชคเซ‹ เช…เชฎเซ‡ เชธเชฎเชœเซ€เชถเซเช‚ เช•เซ‡ เชคเซ‡ เชธเช‚เชธเซเช•เชฐเชฃ 2.3.28 เชฎเชพเช‚ เชจเชฟเชถเซเชšเชฟเชค เช•เชฐเชตเชพเชฎเชพเช‚ เช†เชตเซเชฏเซเช‚ เชนเชคเซเช‚, เชœเซ‹ เช•เซ‡, Nexus IQ เช…เชฎเชจเซ‡ เชคเซ‡เชจเซ€ เชœเชพเชฃ เช•เชฐเซ‡ เช›เซ‡. เชจเชฌเชณเชพเชˆเชจเชพ เชตเชฐเซเชฃเชจเชฎเชพเช‚ เชเช• เชจเซ‹เช‚เชง เช›เซ‡:

DevSecOps: เช•เชพเชฎเช—เซ€เชฐเซ€เชจเชพ เชธเชฟเชฆเซเชงเชพเช‚เชคเซ‹ เช…เชจเซ‡ SCA เชจเซ€ เชธเชฐเช–เชพเชฎเชฃเซ€. เชญเชพเช— เชเช•

เชเชŸเชฒเซ‡ เช•เซ‡, เชจเชฌเชณเชพเชˆ เชซเช•เซเชค JRE เชจเชพ เชœเซ‚เชจเชพ เชธเช‚เชธเซเช•เชฐเชฃ เชธเชพเชฅเซ‡ เชœ เช…เชธเซเชคเชฟเชคเซเชตเชฎเชพเช‚ เช›เซ‡, เชœเซ‡เชจเชพ เชตเชฟเชถเซ‡ เชคเซ‡เช“เช เช…เชฎเชจเซ‡ เชšเซ‡เชคเชตเชฃเซ€ เช†เชชเชตเชพเชจเซเช‚ เชจเช•เซเช•เซ€ เช•เชฐเซเชฏเซเช‚ เช›เซ‡. เชคเซ‡เชฎ เช›เชคเชพเช‚, เช…เชฎเซ‡ เช†เชจเซ‡ เช–เซ‹เชŸเชพ เชนเช•เชพเชฐเชพเชคเซเชฎเช• เช—เชฃเซ€เช เช›เซ€เช, เชœเซ‹เช•เซ‡ เชธเซŒเชฅเซ€ เช–เชฐเชพเชฌ เชจเชฅเซ€.

3 XNUMX

เช˜เชŸเช•
เชจเชฌเชณเชพเช‡
เชชเชฐเชฟเชฃเชพเชฎ

xwork-core:2.3.30
CVE-2017-9804
เชธเชพเชšเซเช‚

xwork-core:2.3.30
CVE-2017-7672
เช–เซ‹เชŸเซเช‚

เชœเซ‹ เช†เชชเชฃเซ‡ CVE-2017-9804 เช…เชจเซ‡ CVE-2017-7672 เชจเชพ เชตเชฐเซเชฃเชจเซ‹ เชœเซ‹เชˆเช, เชคเซ‹ เช†เชชเชฃเซ‡ เชธเชฎเชœเซ€เชถเซเช‚ เช•เซ‡ เชธเชฎเชธเซเชฏเชพ URLValidator class, CVE-2017-9804 เชธเชพเชฅเซ‡ CVE-2017-7672 เชฅเซ€ เช‰เชฆเซเชฆเชญเชตเซ‡ เช›เซ‡. เชฌเซ€เชœเซ€ เชจเชฌเชณเชพเชˆเชจเซ€ เชนเชพเชœเชฐเซ€ เช เชนเช•เซ€เช•เชค เชธเชฟเชตเชพเชฏ เช…เชจเซเชฏ เช•เซ‹เชˆ เช‰เชชเชฏเซ‹เช—เซ€ เชญเชพเชฐ เชตเชนเชจ เช•เชฐเชคเซ€ เชจเชฅเซ€ เช•เซ‡ เชคเซ‡เชจเซ€ เชคเซ€เชตเซเชฐเชคเชพ เชตเชงเซ€ เช—เชˆ เช›เซ‡, เชคเซ‡เชฅเซ€ เช†เชชเชฃเซ‡ เชคเซ‡เชจเซ‡ เชฌเชฟเชจเชœเชฐเซ‚เชฐเซ€ เช…เชตเชพเชœ เช—เชฃเซ€ เชถเช•เซ€เช.

เชธเชพเชฎเชพเชจเซเชฏ เชฐเซ€เชคเซ‡, Nexus IQ เชฎเชพเชŸเซ‡ เช…เชจเซเชฏ เช•เซ‹เชˆ เช–เซ‹เชŸเชพ เชนเช•เชพเชฐเชพเชคเซเชฎเช• เชœเซ‹เชตเชพ เชฎเชณเซเชฏเชพ เชจเชฅเซ€.

เชจเชพ .4

เชเชตเซ€ เช˜เชฃเซ€ เชฌเชพเชฌเชคเซ‹ เช›เซ‡ เชœเซ‡ IQ เชจเซ‡ เช…เชจเซเชฏ เช‰เช•เซ‡เชฒเซ‹เชฅเซ€ เช…เชฒเช— เชฌเชจเชพเชตเซ‡ เช›เซ‡.

เช˜เชŸเช•
เชจเชฌเชณเชพเช‡
เชชเชฐเชฟเชฃเชพเชฎ

spring-web:3.0.5
CVE-2020-5398
เชธเชพเชšเซเช‚

NVD เชฎเชพเช‚ CVE เชœเชฃเชพเชตเซ‡ เช›เซ‡ เช•เซ‡ เชคเซ‡ เชซเช•เซเชค 5.2 เชชเชนเซ‡เชฒเชพเชจเชพ เชตเชฐเซเชเชจ 5.2.3.x, 5.1 เชชเชนเซ‡เชฒเชพเชจเชพ 5.1.13.x เช…เชจเซ‡ 5.0 เชชเชนเซ‡เชฒเชพเชจเชพ เชตเชฐเซเชเชจ 5.0.16.x เชชเชฐ เชœ เชฒเชพเช—เซ เชชเชกเซ‡ เช›เซ‡, เชœเซ‹ เช•เซ‡, เชœเซ‹ เช†เชชเชฃเซ‡ Nexus IQ เชฎเชพเช‚ CVE เชตเชฐเซเชฃเชจ เชœเซ‹เชˆเช เชคเซ‹ , เชชเช›เซ€ เช†เชชเชฃเซ‡ เชจเซ€เชšเซ‡เชจเซ€ เชฌเชพเชฌเชคเซ‹ เชœเซ‹เชˆเชถเซเช‚:
เชเชกเชตเชพเช‡เชเชฐเซ€ เชกเซ‡เชตเชฟเชเชถเชจ เชจเซ‹เชŸเชฟเชธ: Sonatype เชธเซเชฐเช•เซเชทเชพ เชธเช‚เชถเซ‹เชงเชจ เชŸเซ€เชฎเซ‡ เชถเซ‹เชงเซเชฏเซเช‚ เช•เซ‡ เช† เชจเชฌเชณเชพเชˆ เช†เชตเซƒเชคเซเชคเชฟ 3.0.2.RELEASE เชฎเชพเช‚ เชฐเชœเซ‚ เช•เชฐเชตเชพเชฎเชพเช‚ เช†เชตเซ€ เชนเชคเซ€ เช…เชจเซ‡ เชเชกเชตเชพเชˆเชเชฐเซ€เชฎเชพเช‚ เชœเชฃเชพเชตเซเชฏเชพ เชฎเซเชœเชฌ 5.0.x เชจเชนเซ€เช‚.

เช† เชจเชฌเชณเชพเชˆ เชฎเชพเชŸเซ‡ เชเช• PoC เชฆเซเชตเชพเชฐเชพ เช…เชจเซเชธเชฐเชตเชพเชฎเชพเช‚ เช†เชตเซ‡ เช›เซ‡, เชœเซ‡ เชœเชฃเชพเชตเซ‡ เช›เซ‡ เช•เซ‡ เชคเซ‡ เชธเช‚เชธเซเช•เชฐเชฃ 3.0.5 เชฎเชพเช‚ เชนเชพเชœเชฐ เช›เซ‡.

เชซเซ‹เชฒเซเชธ เชจเซ‡เช—เซ‡เชŸเชฟเชต เชกเชฟเชชเซ‡เชจเซเชกเชจเซเชธเซ€ เชšเซ‡เช• เช…เชจเซ‡ เชกเชฟเชชเซ‡เชจเซเชกเชจเซเชธเซ€ เชŸเซเชฐเซ‡เช• เชชเชฐ เชฎเซ‹เช•เชฒเชตเชพเชฎเชพเช‚ เช†เชตเซ‡ เช›เซ‡.

เชจเชพ .5

เชšเชพเชฒเซ‹ เชกเชฟเชชเซ‡เชจเซเชกเชจเซเชธเซ€ เชšเซ‡เช• เช…เชจเซ‡ เชกเชฟเชชเซ‡เชจเซเชกเชจเซเชธเซ€ เชŸเซเชฐเซ‡เช• เชฎเชพเชŸเซ‡ เชซเซ‹เชฒเซเชธ เชชเซ‹เชเชฟเชŸเชฟเชต เชœเซ‹เชˆเช.

เชกเชฟเชชเซ‡เชจเซเชกเชจเซเชธเซ€ เชšเซ‡เช• เช เชธเซเชชเชทเซเชŸ เช›เซ‡ เช•เซ‡ เชคเซ‡ เชคเซ‡ CVE เชจเซ‡ เชชเซเชฐเชคเชฟเชฌเชฟเช‚เชฌเชฟเชค เช•เชฐเซ‡ เช›เซ‡ เชœเซ‡ NVD เชฎเชพเช‚ เชธเชฎเช—เซเชฐ เชฎเชพเชณเช–เชพเชฎเชพเช‚ เชคเซ‡ เช˜เชŸเช•เซ‹ เชชเชฐ เชฒเชพเช—เซ เชฅเชพเชฏ เช›เซ‡ เช•เซ‡ เชœเซ‡เชจเชพ เชชเชฐ เช† CVE เชฒเชพเช—เซ เชฅเชคเชพ เชจเชฅเซ€. เช† CVE-2012-0394, CVE-2013-2115, CVE-2014-0114, CVE-2015-0899, CVE-2015-2992, CVE-2016-1181, CVE-2016-1182, CVE-1.3.8-1.3.8 เชจเซ€ เชคเชชเชพเชธ เชธเชพเชฅเซ‡ เชธเช‚เชฌเช‚เชงเชฟเชค เช›เซ‡. โ€ เชฅเซ€ เชธเซเชŸเซเชฐเชŸเซเชธ-เชŸเซ‡เช—เชฒเชฟเชฌ:XNUMX เช…เชจเซ‡ เชธเซเชŸเซเชฐเชŸเซเชธ-เชŸเชพเชˆเชฒเซเชธ-XNUMX. เช† เช˜เชŸเช•เซ‹เชจเซ‡ CVE เชฎเชพเช‚ เชตเชฐเซเชฃเชตเซ‡เชฒ เชตเชธเซเชคเซ เชธเชพเชฅเซ‡ เช•เซ‹เชˆ เชฒเซ‡เชตเชพเชฆเซ‡เชตเชพ เชจเชฅเซ€ - เชตเชฟเชจเช‚เชคเซ€ เชชเซเชฐเช•เซเชฐเชฟเชฏเชพ, เชชเซƒเชทเซเช  เชฎเชพเชจเซเชฏเชคเชพ, เช…เชจเซ‡ เชคเซ‡เชฅเซ€ เชตเชงเซ. เช† เช เชนเช•เซ€เช•เชคเชจเซ‡ เช•เชพเชฐเชฃเซ‡ เช›เซ‡ เช•เซ‡ เช† CVE เช…เชจเซ‡ เช˜เชŸเช•เซ‹เชฎเชพเช‚ เชœเซ‡ เชธเชพเชฎเซเชฏ เช›เซ‡ เชคเซ‡ เชฎเชพเชคเซเชฐ เชซเซเชฐเซ‡เชฎเชตเชฐเซเช• เช›เซ‡, เชคเซ‡เชฅเซ€ เชœ เชกเชฟเชชเซ‡เชจเซเชกเชจเซเชธเซ€ เชšเซ‡เช• เชคเซ‡เชจเซ‡ เชจเชฌเชณเชพเชˆ เชฎเชพเชจเซ‡ เช›เซ‡.

เช† เชœ เชชเชฐเชฟเชธเซเชฅเชฟเชคเชฟ spring-tx:3.0.5 เชธเชพเชฅเซ‡ เช›เซ‡, เช…เชจเซ‡ struts-core:1.3.8 เชธเชพเชฅเซ‡ เชธเชฎเชพเชจ เชชเชฐเชฟเชธเซเชฅเชฟเชคเชฟ เช›เซ‡. เชธเซเชŸเซเชฐเชŸเซเชธ-เช•เซ‹เชฐ เชฎเชพเชŸเซ‡, เชกเชฟเชชเซ‡เชจเซเชกเชจเซเชธเซ€ เชšเซ‡เช• เช…เชจเซ‡ เชกเชฟเชชเซ‡เชจเซเชกเชจเซเชธเซ€ เชŸเซเชฐเซ‡เช•เชจเซ‡ เช˜เชฃเซ€ เชฌเชงเซ€ เชจเชฌเชณเชพเชˆเช“ เชฎเชณเซ€ เช›เซ‡ เชœเซ‡ เชตเชพเชธเซเชคเชตเชฎเชพเช‚ เชธเซเชŸเซเชฐเชŸเซเชธ2-เช•เซ‹เชฐเชจเซ‡ เชฒเชพเช—เซ เชชเชกเซ‡ เช›เซ‡, เชœเซ‡ เช†เชตเชถเซเชฏเช•เชชเชฃเซ‡ เชเช• เช…เชฒเช— เชซเซเชฐเซ‡เชฎเชตเชฐเซเช• เช›เซ‡. เช† เช•เชฟเชธเซเชธเชพเชฎเชพเช‚, Nexus IQ เชšเชฟเชคเซเชฐเชจเซ‡ เชฏเซ‹เช—เซเชฏ เชฐเซ€เชคเซ‡ เชธเชฎเชœเซ‡ เช›เซ‡ เช…เชจเซ‡ เชคเซ‡เชฃเซ‡ เชœเชพเชฐเซ€ เช•เชฐเซ‡เชฒเชพ CVE เชฎเชพเช‚, เชคเซ‡ เชฆเชฐเซเชถเชพเชตเซ‡ เช›เซ‡ เช•เซ‡ เชธเซเชŸเซเชฐเชŸเซเชธ-เช•เซ‹เชฐ เชœเซ€เชตเชจเชจเชพ เช…เช‚เชค เชธเซเชงเซ€ เชชเชนเซ‹เช‚เชšเซ€ เช—เชฏเซเช‚ เช›เซ‡ เช…เชจเซ‡ เชคเซ‡เชจเซ‡ เชธเซเชŸเซเชฐเชŸเซเชธ2-เช•เซ‹เชฐเชฎเชพเช‚ เชœเชตเชพเชจเซเช‚ เชœเชฐเซ‚เชฐเซ€ เช›เซ‡.

เชจเชพ .6

เช•เซ‡เชŸเชฒเซ€เช• เชชเชฐเชฟเชธเซเชฅเชฟเชคเชฟเช“เชฎเชพเช‚, เชธเซเชชเชทเซเชŸ เชจเชฟเชฐเซเชญเชฐเชคเชพ เชคเชชเชพเชธ เช…เชจเซ‡ เชจเชฟเชฐเซเชญเชฐเชคเชพ เชŸเซเชฐเซ‡เช• เชญเซ‚เชฒเชจเซเช‚ เช…เชฐเซเชฅเช˜เชŸเชจ เช•เชฐเชตเซเช‚ เช…เชฏเซ‹เช—เซเชฏ เช›เซ‡. เช–เชพเชธ เช•เชฐเซ€เชจเซ‡ CVE-2013-4152, CVE-2013-6429, CVE-2013-6430, CVE-2013-7315, CVE-2014-0054, CVE-2014-0225, CVE-2014-0225, CVE-3.0.5-3.0.5 เช…เชจเซ‡ เชŸเซเชฐเซ‡เชชเซ‡เชจเซเชธเซ€ เชกเซ€เชเชชเซ€ XNUMX เชเชจเซเชก เชกเซ€เชเชจเซเชก เชธเซเชชเซเชฐเชฟเช‚เช—-เช•เซ‹เชฐ:XNUMX เชตเชพเชธเซเชคเชตเชฎเชพเช‚ เชธเซเชชเซเชฐเชฟเช‚เช—-เชตเซ‡เชฌเชฅเซ€ เชธเช‚เชฌเช‚เชงเชฟเชค เช›เซ‡:XNUMX. เชคเซ‡ เชœ เชธเชฎเชฏเซ‡, เช†เชฎเชพเช‚เชจเชพ เช•เซ‡เชŸเชฒเชพเช• CVE เชจเซ‡เช•เซเชธเชธ IQ เชฆเซเชตเชพเชฐเชพ เชชเชฃ เชฎเชณเซ€ เช†เชตเซเชฏเชพ เชนเชคเชพ, เชœเซ‹ เช•เซ‡, IQ เช เชคเซ‡เชฎเชจเซ‡ เช…เชจเซเชฏ เช˜เชŸเช• เชฎเชพเชŸเซ‡ เชฏเซ‹เช—เซเชฏ เชฐเซ€เชคเซ‡ เช“เชณเช–เซเชฏเชพ. เช•เชพเชฐเชฃ เช•เซ‡ เช† เชจเชฌเชณเชพเชˆเช“ เชธเซเชชเซเชฐเชฟเช‚เช—-เช•เซ‹เชฐเชฎเชพเช‚ เชฎเชณเซ€ เชจ เชนเชคเซ€, เชเชตเซ€ เชฆเชฒเซ€เชฒ เช•เชฐเซ€ เชถเช•เชพเชคเซ€ เชจเชฅเซ€ เช•เซ‡ เชคเซ‡เช“ เชธเชฟเชฆเซเชงเชพเช‚เชคเชฎเชพเช‚ เชฎเชพเชณเช–เชพเชฎเชพเช‚ เชจเชฅเซ€ เช…เชจเซ‡ เช“เชชเชจ เชธเซ‹เชฐเซเชธ เชŸเซ‚เชฒเซเชธเซ‡ เช† เชจเชฌเชณเชพเชˆเช“เชจเซ‡ เชฏเซ‹เช—เซเชฏ เชฐเซ€เชคเซ‡ เชฆเชฐเซเชถเชพเชตเซ€ เช›เซ‡ (เชคเซ‡เช“ เชฅเซ‹เชกเซ€ เชšเซ‚เช•เซ€ เช—เชฏเชพ เช›เซ‡).

เชคเชพเชฐเชฃเซ‹

เชœเซ‡เชฎ เช†เชชเชฃเซ‡ เชœเซ‹เชˆ เชถเช•เซ€เช เช›เซ€เช, เชฎเซ‡เชจเซเชฏเซเช…เชฒ เชธเชฎเซ€เช•เซเชทเชพ เชฆเซเชตเชพเชฐเชพ เช“เชณเช–เชพเชฏเซ‡เชฒ เชจเชฌเชณเชพเชˆเช“เชจเซ€ เชตเชฟเชถเซเชตเชธเชจเซ€เชฏเชคเชพ เชจเช•เซเช•เซ€ เช•เชฐเชตเชพเชฅเซ€ เช…เชธเซเชชเชทเซเชŸ เชชเชฐเชฟเชฃเชพเชฎเซ‹ เชฎเชณเชคเชพ เชจเชฅเซ€, เชคเซ‡เชฅเซ€ เชœ เชตเชฟเชตเชพเชฆเชพเชธเซเชชเชฆ เชฎเซเชฆเซเชฆเชพเช“ เช‰เชญเชพ เชฅเชพเชฏ เช›เซ‡. เชชเชฐเชฟเชฃเชพเชฎเซ‹ เช เช›เซ‡ เช•เซ‡ Nexus IQ เชธเซ‹เชฒเซเชฏเซเชถเชจเชฎเชพเช‚ เชธเซŒเชฅเซ€ เช“เช›เซ‹ เช–เซ‹เชŸเซ‹ เชนเช•เชพเชฐเชพเชคเซเชฎเช• เชฆเชฐ เช…เชจเซ‡ เชธเซŒเชฅเซ€ เชตเชงเซ เชšเซ‹เช•เชธเชพเชˆ เช›เซ‡.

เชธเซŒ เชชเซเชฐเชฅเชฎ, เช† เช เชนเช•เซ€เช•เชคเชจเซ‡ เช•เชพเชฐเชฃเซ‡ เช›เซ‡ เช•เซ‡ Sonatype เชŸเซ€เชฎเซ‡ เชคเซ‡เชจเชพ เชกเซ‡เชŸเชพเชฌเซ‡เชเชฎเชพเช‚ NVD เชฎเชพเช‚เชฅเซ€ เชฆเชฐเซ‡เช• CVE เชจเชฌเชณเชพเชˆ เชฎเชพเชŸเซ‡เชจเซเช‚ เชตเชฐเซเชฃเชจ เชตเชฟเชธเซเชคเซƒเชค เช•เชฐเซเชฏเซเช‚ เช›เซ‡, เชœเซ‡ เช˜เชŸเช•เซ‹เชจเชพ เชšเซ‹เช•เซเช•เชธ เชธเช‚เชธเซเช•เชฐเชฃ เชฎเชพเชŸเซ‡ เชตเชฐเซเช— เช…เชฅเชตเชพ เช•เชพเชฐเซเชฏ เชฎเชพเชŸเซ‡ เชจเชฌเชณเชพเชˆเช“เชจเซ‡ เชธเซ‚เชšเชตเซ‡ เช›เซ‡, เชตเชงเชพเชฐเชพเชจเชพ เชธเช‚เชถเซ‹เชงเชจ เชนเชพเชฅ เชงเชฐเซ‡ เช›เซ‡ (เช‰เชฆเชพเชนเชฐเชฃ เชคเชฐเซ€เช•เซ‡ , เชœเซ‚เชจเชพ เชธเซ‹เชซเซเชŸเชตเซ‡เชฐ เชตเชฐเซเชเชจ เชชเชฐ เชจเชฌเชณเชพเชˆเช“ เชคเชชเชพเชธเซ€ เชฐเชนเซ€ เช›เซ‡).

เชชเชฐเชฟเชฃเชพเชฎเซ‹ เชชเชฐ เชฎเชนเชคเซเชตเชชเซ‚เชฐเซเชฃ เชชเซเชฐเชญเชพเชต เชคเซ‡ เชจเชฌเชณเชพเชˆเช“ เชฆเซเชตเชพเชฐเชพ เชชเชฃ เชญเชœเชตเชตเชพเชฎเชพเช‚ เช†เชตเซ‡ เช›เซ‡ เชœเซ‡ NVD เชฎเชพเช‚ เชธเชฎเชพเชตเชฟเชทเซเชŸ เชจ เชนเชคเชพ, เชชเชฐเช‚เชคเซ เชคเซ‡เชฎ เช›เชคเชพเช‚ เชคเซ‡ SONATYPE เชฎเชพเชฐเซเช• เชธเชพเชฅเซ‡ เชธเซ‹เชจเชพเชŸเชพเชˆเชช เชกเซ‡เชŸเชพเชฌเซ‡เชเชฎเชพเช‚ เชนเชพเชœเชฐ เช›เซ‡. เช…เชนเซ‡เชตเชพเชฒ เชฎเซเชœเชฌ เช“เชชเชจ เชธเซ‹เชฐเซเชธ เชธเซเชฐเช•เซเชทเชพ เชจเชฌเชณเชพเชˆเช“เชจเซเช‚ เชฐเชพเชœเซเชฏ 2020 เชถเซ‹เชงเชพเชฏเซ‡เชฒ เช“เชชเชจ เชธเซ‹เชฐเซเชธ เชจเชฌเชณเชพเชˆเช“เชฎเชพเช‚เชฅเซ€ 45% NVD เชจเซ‡ เชœเชพเชฃ เช•เชฐเชตเชพเชฎเชพเช‚ เช†เชตเซ€ เชจเชฅเซ€. เชตเซเชนเชพเช‡เชŸเชธเซ‹เชฐเซเชธ เชกเซ‡เชŸเชพเชฌเซ‡เช เชฎเซเชœเชฌ, NVD เชจเซ€ เชฌเชนเชพเชฐ เชจเซ‹เช‚เชงเชพเชฏเซ‡เชฒเซ€ เชคเชฎเชพเชฎ เช“เชชเชจ เชธเซ‹เชฐเซเชธ เชจเชฌเชณเชพเชˆเช“เชฎเชพเช‚เชฅเซ€ เชฎเชพเชคเซเชฐ 29% เชคเซเชฏเชพเช‚ เชœ เชชเซเชฐเช•เชพเชถเชฟเชค เชฅเชพเชฏ เช›เซ‡, เชคเซ‡เชฅเซ€ เชœ เช…เชจเซเชฏ เชธเซเชคเซเชฐเซ‹เชคเซ‹เชฎเชพเช‚ เชชเชฃ เชจเชฌเชณเชพเชˆเช“ เชถเซ‹เชงเชตเซ€ เชฎเชนเชคเซเชตเชชเซ‚เชฐเซเชฃ เช›เซ‡.

เชชเชฐเชฟเชฃเชพเชฎเซ‡, เชกเชฟเชชเซ‡เชจเซเชกเชจเซเชธเซ€ เชšเซ‡เช• เช˜เชฃเซ‹ เช˜เซ‹เช‚เช˜เชพเชŸ เชชเซ‡เชฆเชพ เช•เชฐเซ‡ เช›เซ‡, เชœเซ‡เชฎเชพเช‚ เช•เซ‡เชŸเชฒเชพเช• เชธเช‚เชตเซ‡เชฆเชจเชถเซ€เชฒ เช˜เชŸเช•เซ‹ เช–เซ‚เชŸเซ‡ เช›เซ‡. เชกเชฟเชชเซ‡เชจเซเชกเชจเซเชธเซ€ เชŸเซเชฐเซ‡เช• เช“เช›เซ‹ เช…เชตเชพเชœ เช‰เชคเซเชชเชจเซเชจ เช•เชฐเซ‡ เช›เซ‡ เช…เชจเซ‡ เชฎเซ‹เชŸเซ€ เชธเช‚เช–เซเชฏเชพเชฎเชพเช‚ เช˜เชŸเช•เซ‹เชจเซ‡ เชถเซ‹เชงเซ€ เช•เชพเชขเซ‡ เช›เซ‡, เชœเซ‡ เชตเซ‡เชฌ เชˆเชจเซเชŸเชฐเชซเซ‡เชธเชฎเชพเช‚ เช†เช‚เช–เซ‹เชจเซ‡ เชฆเซƒเชทเซเชŸเชฟเชจเซ€ เชฐเซ€เชคเซ‡ เชจเซเช•เชธเชพเชจ เชชเชนเซ‹เช‚เชšเชพเชกเชคเซเช‚ เชจเชฅเซ€.

เชœเซ‹ เช•เซ‡, เชชเซเชฐเซ‡เช•เซเชŸเชฟเชธ เชฌเชคเชพเชตเซ‡ เช›เซ‡ เช•เซ‡ เช“เชชเชจ เชธเซ‹เชฐเซเชธ เช เชชเชฐเชฟเชชเช•เซเชต DevSecOps เชคเชฐเชซเชจเซเช‚ เชชเซเชฐเชฅเชฎ เชชเช—เชฒเซเช‚ เชนเซ‹เชตเซเช‚ เชœเซ‹เชˆเช. เชตเชฟเช•เชพเชธเชฎเชพเช‚ SCA เชจเซ‡ เชเช•เซ€เช•เซƒเชค เช•เชฐเชคเซ€ เชตเช–เชคเซ‡ เชคเชฎเชพเชฐเซ‡ เชชเซเชฐเชฅเชฎ เชตเชธเซเชคเซ เชตเชฟเชถเซ‡ เชตเชฟเชšเชพเชฐเชตเซเช‚ เชœเซ‹เชˆเช เชคเซ‡ เชชเซเชฐเช•เซเชฐเชฟเชฏเชพเช“ เช›เซ‡, เชเชŸเชฒเซ‡ เช•เซ‡, เชคเชฎเชพเชฐเซ€ เชธเช‚เชธเซเชฅเชพเชฎเชพเช‚ เช†เชฆเชฐเซเชถ เชชเซเชฐเช•เซเชฐเชฟเชฏเชพเช“ เช•เซ‡เชตเซ€ เชนเซ‹เชตเซ€ เชœเซ‹เชˆเช เชคเซ‡ เชตเชฟเชถเซ‡ เชฎเซ‡เชจเซ‡เชœเชฎเซ‡เชจเซเชŸ เช…เชจเซ‡ เชธเช‚เชฌเช‚เชงเชฟเชค เชตเชฟเชญเชพเช—เซ‹ เชธเชพเชฅเซ‡ เชฎเชณเซ€เชจเซ‡ เชตเชฟเชšเชพเชฐเชตเซเช‚. เชคเซ‡ เชฌเชนเชพเชฐ เช†เชตเซ€ เชถเช•เซ‡ เช›เซ‡ เช•เซ‡ เชคเชฎเชพเชฐเซ€ เชธเช‚เชธเซเชฅเชพ เชฎเชพเชŸเซ‡, เชถเชฐเซ‚เช†เชคเชฎเชพเช‚, เชกเชฟเชชเซ‡เชจเซเชกเชจเซเชธเซ€ เชšเซ‡เช• เช…เชฅเชตเชพ เชกเชฟเชชเซ‡เชจเซเชกเชจเซเชธเซ€ เชŸเซเชฐเซ…เช• เชคเชฎเชพเชฎ เชตเซเชฏเชตเชธเชพเชฏเชฟเช• เชœเชฐเซ‚เชฐเชฟเชฏเชพเชคเซ‹เชจเซ‡ เช†เชตเชฐเซ€ เชฒเซ‡เชถเซ‡, เช…เชจเซ‡ เชเชจเซเชŸเชฐเชชเซเชฐเชพเช‡เช เชธเซ‹เชฒเซเชฏเซเชถเชจเซเชธ เชตเชฟเช•เชธเชพเชตเชตเชพเชฎเชพเช‚ เช†เชตเซ€ เชฐเชนเซ‡เชฒเซ€ เชเชชเซเชฒเชฟเช•เซ‡เชถเชจเซเชธเชจเซ€ เชตเชงเชคเซ€ เชœเชคเซ€ เชœเชŸเชฟเชฒเชคเชพเชจเซ‡ เช•เชพเชฐเชฃเซ‡ เชคเชพเชฐเซเช•เชฟเช• เชšเชพเชฒเซ เชฐเชนเซ‡เชถเซ‡.

เชชเชฐเชฟเชถเชฟเชทเซเชŸ A: เช˜เชŸเช• เชชเชฐเชฟเชฃเชพเชฎเซ‹
เชฆเช‚เชคเช•เชฅเชพ:

  • เช˜เชŸเช•เชฎเชพเช‚ เช‰เชšเซเชš-เช‰เชšเซเชš เช…เชจเซ‡ เชจเชฟเชฐเซเชฃเชพเชฏเช• เชธเซเชคเชฐเชจเซ€ เชจเชฌเชณเชพเชˆเช“
  • เชฎเชงเซเชฏเชฎ - เช˜เชŸเช•เชฎเชพเช‚ เชฎเชงเซเชฏเชฎ เชœเชŸเชฟเชฒเชคเชพ เชธเซเชคเชฐเชจเซ€ เชจเชฌเชณเชพเชˆเช“
  • เชธเชพเชšเซเช‚ - เชธเชพเชšเซ‹ เชนเช•เชพเชฐเชพเชคเซเชฎเช• เชฎเซเชฆเซเชฆเซ‹
  • FALSE โ€” เช–เซ‹เชŸเซ‹ เชนเช•เชพเชฐเชพเชคเซเชฎเช• เชฎเซเชฆเซเชฆเซ‹

เช˜เชŸเช•
Nexus IQ
เชจเชฟเชฐเซเชญเชฐเชคเชพ เชคเชชเชพเชธ
เชจเชฟเชฐเซเชญเชฐเชคเชพ เชŸเซเชฐเซ‡เช•
เชชเชฐเชฟเชฃเชพเชฎ

dom4j: 1.6.1
เชนเชพเช‡
เชนเชพเช‡
เชนเชพเช‡
เชธเชพเชšเซเช‚

log4j-core: 2.3
เชนเชพเช‡
เชนเชพเช‡
เชนเชพเช‡
เชธเชพเชšเซเช‚

log4j: 1.2.14
เชนเชพเช‡
เชนเชพเช‡
-
เชธเชพเชšเซเช‚

เช•เซ‹เชฎเชจเซเชธ-เชธเช‚เช—เซเชฐเชนเซ‹:3.1
เชนเชพเช‡
เชนเชพเช‡
เชนเชพเช‡
เชธเชพเชšเซเช‚

เช•เซ‹เชฎเชจเซเชธ-เชซเชพเชˆเชฒ เช…เชชเชฒเซ‹เชก:1.3.2
เชนเชพเช‡
เชนเชพเช‡
เชนเชพเช‡
เชธเชพเชšเซเช‚

เช•เซ‹เชฎเชจเซเชธ-เชฌเซ€เชจเชŸเซ€เชฒเซเชธ:1.7.0
เชนเชพเช‡
เชนเชพเช‡
เชนเชพเช‡
เชธเชพเชšเซเช‚

เช•เซ‹เชฎเชจเซเชธ-เช•เซ‹เชกเซ‡เช•:1:10
เชฎเชงเซเชฏเชฎ
-
-
เชธเชพเชšเซเช‚

mysql-connector-java:5.1.42
เชนเชพเช‡
เชนเชพเช‡
เชนเชพเช‡
เชธเชพเชšเซเช‚

เชตเชธเช‚เชค-เช…เชญเชฟเชตเซเชฏเช•เซเชคเชฟ:3.0.5
เชนเชพเช‡
เช˜เชŸเช• เชฎเชณเซเชฏเซ‹ เชจเชฅเซ€

เชธเชพเชšเซเช‚

spring-web:3.0.5
เชนเชพเช‡
เช˜เชŸเช• เชฎเชณเซเชฏเซ‹ เชจเชฅเซ€
เชนเชพเช‡
เชธเชพเชšเซเช‚

เชตเชธเช‚เชค-เชธเช‚เชฆเชฐเซเชญ:3.0.5
เชฎเชงเซเชฏเชฎ
เช˜เชŸเช• เชฎเชณเซเชฏเซ‹ เชจเชฅเซ€
-
เชธเชพเชšเซเช‚

เชธเซเชชเซเชฐเชฟเช‚เช—-เช•เซ‹เชฐ:3.0.5
เชฎเชงเซเชฏเชฎ
เชนเชพเช‡
เชนเชพเช‡
เชธเชพเชšเซเช‚

struts2-config-browser-plugin:2.3.30
เชฎเชงเซเชฏเชฎ
-
-
เชธเชพเชšเซเช‚

spring-tx:3.0.5
-
เชนเชพเช‡
-
เช–เซ‹เชŸเซเช‚

เชธเซเชŸเซเชฐเชŸเซเชธ-เช•เซ‹เชฐ:1.3.8
เชนเชพเช‡
เชนเชพเช‡
เชนเชพเช‡
เชธเชพเชšเซเช‚

xwork-core: 2.3.30
เชนเชพเช‡
-
-
เชธเชพเชšเซเช‚

struts2-core: 2.3.30
เชนเชพเช‡
เชนเชพเช‡
เชนเชพเช‡
เชธเชพเชšเซเช‚

เชธเซเชŸเซเชฐเชŸเซเชธ-เชŸเซ‡เช—เชฒเชฟเชฌ:1.3.8
-
เชนเชพเช‡
-
เช–เซ‹เชŸเซเช‚

เชธเซเชŸเซเชฐเชŸเซเชธ-เชŸเชพเชˆเชฒเซเชธ-1.3.8
-
เชนเชพเช‡
-
เช–เซ‹เชŸเซเช‚

เชชเชฐเชฟเชถเชฟเชทเซเชŸ B: เชจเชฌเชณเชพเชˆ เชชเชฐเชฟเชฃเชพเชฎเซ‹
เชฆเช‚เชคเช•เชฅเชพ:

  • เช˜เชŸเช•เชฎเชพเช‚ เช‰เชšเซเชš-เช‰เชšเซเชš เช…เชจเซ‡ เชจเชฟเชฐเซเชฃเชพเชฏเช• เชธเซเชคเชฐเชจเซ€ เชจเชฌเชณเชพเชˆเช“
  • เชฎเชงเซเชฏเชฎ - เช˜เชŸเช•เชฎเชพเช‚ เชฎเชงเซเชฏเชฎ เชœเชŸเชฟเชฒเชคเชพ เชธเซเชคเชฐเชจเซ€ เชจเชฌเชณเชพเชˆเช“
  • เชธเชพเชšเซเช‚ - เชธเชพเชšเซ‹ เชนเช•เชพเชฐเชพเชคเซเชฎเช• เชฎเซเชฆเซเชฆเซ‹
  • FALSE โ€” เช–เซ‹เชŸเซ‹ เชนเช•เชพเชฐเชพเชคเซเชฎเช• เชฎเซเชฆเซเชฆเซ‹

เช˜เชŸเช•
Nexus IQ
เชจเชฟเชฐเซเชญเชฐเชคเชพ เชคเชชเชพเชธ
เชจเชฟเชฐเซเชญเชฐเชคเชพ เชŸเซเชฐเซ‡เช•
เชคเซ€เชตเซเชฐเชคเชพ
เชชเชฐเชฟเชฃเชพเชฎ
เชŸเชฟเชชเซเชชเชฃเซ€

dom4j: 1.6.1
CVE-2018-1000632
CVE-2018-1000632
CVE-2018-1000632
เชนเชพเช‡
เชธเชพเชšเซเช‚

CVE-2020-10683
CVE-2020-10683
CVE-2020-10683
เชนเชพเช‡
เชธเชพเชšเซเช‚

log4j-core: 2.3
CVE-2017-5645
CVE-2017-5645
CVE-2017-5645
เชนเชพเช‡
เชธเชพเชšเซเช‚

CVE-2020-9488
CVE-2020-9488
CVE-2020-9488
เชจเซ€เชšเชพ
เชธเชพเชšเซเช‚

log4j: 1.2.14
CVE-2019-17571
CVE-2019-17571
-
เชนเชพเช‡
เชธเชพเชšเซเช‚

-
CVE-2020-9488
-
เชจเซ€เชšเชพ
เชธเชพเชšเซเช‚

SONATYPE-2010-0053
-
-
เชนเชพเช‡
เชธเชพเชšเซเช‚

เช•เซ‹เชฎเชจเซเชธ-เชธเช‚เช—เซเชฐเชนเซ‹:3.1
-
CVE-2015-6420
CVE-2015-6420
เชนเชพเช‡
เช–เซ‹เชŸเซเช‚
เชกเซเชชเซเชฒเชฟเช•เซ‡เชŸเซเชธ RCE(OSSINDEX)

-
CVE-2017-15708
CVE-2017-15708
เชนเชพเช‡
เช–เซ‹เชŸเซเช‚
เชกเซเชชเซเชฒเชฟเช•เซ‡เชŸเซเชธ RCE(OSSINDEX)

SONATYPE-2015-0002
RCE (OSSINDEX)
RCE(OSSINDEX)
เชนเชพเช‡
เชธเชพเชšเซเช‚

เช•เซ‹เชฎเชจเซเชธ-เชซเชพเชˆเชฒ เช…เชชเชฒเซ‹เชก:1.3.2
CVE-2016-1000031
CVE-2016-1000031
CVE-2016-1000031
เชนเชพเช‡
เชธเชพเชšเซเช‚

SONATYPE-2014-0173
-
-
เชฎเชงเซเชฏเชฎ
เชธเชพเชšเซเช‚

เช•เซ‹เชฎเชจเซเชธ-เชฌเซ€เชจเชŸเซ€เชฒเซเชธ:1.7.0
CVE-2014-0114
CVE-2014-0114
CVE-2014-0114
เชนเชพเช‡
เชธเชพเชšเซเช‚

-
CVE-2019-10086
CVE-2019-10086
เชนเชพเช‡
เช–เซ‹เชŸเซเช‚
เชจเชฌเชณเชพเชˆ เชฎเชพเชคเซเชฐ เช†เชตเซƒเชคเซเชคเชฟเช“ 1.9.2+ เชชเชฐ เชฒเชพเช—เซ เชฅเชพเชฏ เช›เซ‡

เช•เซ‹เชฎเชจเซเชธ-เช•เซ‹เชกเซ‡เช•:1:10
SONATYPE-2012-0050
-
-
เชฎเชงเซเชฏเชฎ
เชธเชพเชšเซเช‚

mysql-connector-java:5.1.42
CVE-2018-3258
CVE-2018-3258
CVE-2018-3258
เชนเชพเช‡
เชธเชพเชšเซเช‚

CVE-2019-2692
CVE-2019-2692
-
เชฎเชงเซเชฏเชฎ
เชธเชพเชšเซเช‚

-
CVE-2020-2875
-
เชฎเชงเซเชฏเชฎ
เช–เซ‹เชŸเซเช‚
CVE-2019-2692 เชœเซ‡เชตเซ€ เชœ เชจเชฌเชณเชพเชˆ, เชชเชฐเช‚เชคเซ เชจเซ‹เช‚เชง เชธเชพเชฅเซ‡ "เชนเซเชฎเชฒเชพ เชตเชงเชพเชฐเชพเชจเชพ เช‰เชคเซเชชเชพเชฆเชจเซ‹เชจเซ‡ เชจเซ‹เช‚เชงเชชเชพเชคเซเชฐ เชฐเซ€เชคเซ‡ เช…เชธเชฐ เช•เชฐเซ€ เชถเช•เซ‡ เช›เซ‡"

-
CVE-2017-15945
-
เชนเชพเช‡
เช–เซ‹เชŸเซเช‚
mysql-connector-java เชธเชพเชฅเซ‡ เชธเช‚เชฌเช‚เชงเชฟเชค เชจเชฅเซ€

-
CVE-2020-2933
-
เชจเซ€เชšเชพ
เช–เซ‹เชŸเซเช‚
CVE-2020-2934 เชจเซเช‚ เชกเซเชชเซเชฒเชฟเช•เซ‡เชŸ

CVE-2020-2934
CVE-2020-2934
-
เชฎเชงเซเชฏเชฎ
เชธเชพเชšเซเช‚

เชตเชธเช‚เชค-เช…เชญเชฟเชตเซเชฏเช•เซเชคเชฟ:3.0.5
CVE-2018-1270
เช˜เชŸเช• เชฎเชณเซเชฏเซ‹ เชจเชฅเซ€
-
เชนเชพเช‡
เชธเชพเชšเซเช‚

CVE-2018-1257
-
-
เชฎเชงเซเชฏเชฎ
เชธเชพเชšเซเช‚

spring-web:3.0.5
CVE-2016-1000027
เช˜เชŸเช• เชฎเชณเซเชฏเซ‹ เชจเชฅเซ€
-
เชนเชพเช‡
เชธเชพเชšเซเช‚

CVE-2014-0225
-
CVE-2014-0225
เชนเชพเช‡
เชธเชพเชšเซเช‚

CVE-2011-2730
-
-
เชนเชพเช‡
เชธเชพเชšเซเช‚

-
-
CVE-2013-4152
เชฎเชงเซเชฏเชฎ
เชธเชพเชšเซเช‚

CVE-2018-1272
-
-
เชนเชพเช‡
เชธเชพเชšเซเช‚

CVE-2020-5398
-
-
เชนเชพเช‡
เชธเชพเชšเซเช‚
IQ เชจเซ€ เชคเชฐเชซเซ‡เชฃเชฎเชพเช‚ เชเช• เช‰เชฆเชพเชนเชฐเชฃเชฐเซ‚เชช เช‰เชฆเชพเชนเชฐเชฃ: "เชธเซ‹เชจเชพเชŸเชพเช‡เชช เชธเซเชฐเช•เซเชทเชพ เชธเช‚เชถเซ‹เชงเชจ เชŸเซ€เชฎเซ‡ เชถเซ‹เชงเซเชฏเซเช‚ เช•เซ‡ เช† เชจเชฌเชณเชพเชˆ เช†เชตเซƒเชคเซเชคเชฟ 3.0.2.RELEASE เชฎเชพเช‚ เชฐเชœเซ‚ เช•เชฐเชตเชพเชฎเชพเช‚ เช†เชตเซ€ เชนเชคเซ€ เช…เชจเซ‡ เชเชกเชตเชพเชˆเชเชฐเซ€เชฎเชพเช‚ เชœเชฃเชพเชตเซเชฏเชพ เชฎเซเชœเชฌ 5.0.x เชจเชนเซ€เช‚."

CVE-2013-6429
-
-
เชฎเชงเซเชฏเชฎ
เชธเชพเชšเซเช‚

CVE-2014-0054
-
CVE-2014-0054
เชฎเชงเซเชฏเชฎ
เชธเชพเชšเซเช‚

CVE-2013-6430
-
-
เชฎเชงเซเชฏเชฎ
เชธเชพเชšเซเช‚

เชตเชธเช‚เชค-เชธเช‚เชฆเชฐเซเชญ:3.0.5
CVE-2011-2894
เช˜เชŸเช• เชฎเชณเซเชฏเซ‹ เชจเชฅเซ€
-
เชฎเชงเซเชฏเชฎ
เชธเชพเชšเซเช‚

เชธเซเชชเซเชฐเชฟเช‚เช—-เช•เซ‹เชฐ:3.0.5
-
CVE-2011-2730
CVE-2011-2730
เชนเชพเช‡
เชธเชพเชšเซเช‚

CVE-2011-2894
CVE-2011-2894
CVE-2011-2894
เชฎเชงเซเชฏเชฎ
เชธเชพเชšเซเช‚

-
-
CVE-2013-4152
เชฎเชงเซเชฏเชฎ
เช–เซ‹เชŸเซเช‚
เชตเชธเช‚เชค-เชตเซ‡เชฌเชฎเชพเช‚ เชธเชฎเชพเชจ เชจเชฌเชณเชพเชˆเชจเซเช‚ เชกเซเชชเซเชฒเชฟเช•เซ‡เชŸ

-
CVE-2013-4152
-
เชฎเชงเซเชฏเชฎ
เช–เซ‹เชŸเซเช‚
เชจเชฌเชณเชพเชˆ เชตเชธเช‚เชค-เชตเซ‡เชฌ เช˜เชŸเช• เชธเชพเชฅเซ‡ เชธเช‚เชฌเช‚เชงเชฟเชค เช›เซ‡

-
CVE-2013-6429
CVE-2013-6429
เชฎเชงเซเชฏเชฎ
เช–เซ‹เชŸเซเช‚
เชจเชฌเชณเชพเชˆ เชตเชธเช‚เชค-เชตเซ‡เชฌ เช˜เชŸเช• เชธเชพเชฅเซ‡ เชธเช‚เชฌเช‚เชงเชฟเชค เช›เซ‡

-
CVE-2013-6430
-
เชฎเชงเซเชฏเชฎ
เช–เซ‹เชŸเซเช‚
เชจเชฌเชณเชพเชˆ เชตเชธเช‚เชค-เชตเซ‡เชฌ เช˜เชŸเช• เชธเชพเชฅเซ‡ เชธเช‚เชฌเช‚เชงเชฟเชค เช›เซ‡

-
CVE-2013-7315
CVE-2013-7315
เชฎเชงเซเชฏเชฎ
เช–เซ‹เชŸเซเช‚
CVE-2013-4152 เชฎเชพเช‚เชฅเซ€ เชธเซเชชเซเชฒเชฟเชŸ. + เชจเชฌเชณเชพเชˆ เชตเชธเช‚เชค-เชตเซ‡เชฌ เช˜เชŸเช• เชธเชพเชฅเซ‡ เชธเช‚เชฌเช‚เชงเชฟเชค เช›เซ‡

-
CVE-2014-0054
CVE-2014-0054
เชฎเชงเซเชฏเชฎ
เช–เซ‹เชŸเซเช‚
เชจเชฌเชณเชพเชˆ เชตเชธเช‚เชค-เชตเซ‡เชฌ เช˜เชŸเช• เชธเชพเชฅเซ‡ เชธเช‚เชฌเช‚เชงเชฟเชค เช›เซ‡

-
CVE-2014-0225
-
เชนเชพเช‡
เช–เซ‹เชŸเซเช‚
เชจเชฌเชณเชพเชˆ เชตเชธเช‚เชค-เชตเซ‡เชฌ เช˜เชŸเช• เชธเชพเชฅเซ‡ เชธเช‚เชฌเช‚เชงเชฟเชค เช›เซ‡

-
-
CVE-2014-0225
เชนเชพเช‡
เช–เซ‹เชŸเซเช‚
เชตเชธเช‚เชค-เชตเซ‡เชฌเชฎเชพเช‚ เชธเชฎเชพเชจ เชจเชฌเชณเชพเชˆเชจเซเช‚ เชกเซเชชเซเชฒเชฟเช•เซ‡เชŸ

-
CVE-2014-1904
CVE-2014-1904
เชฎเชงเซเชฏเชฎ
เช–เซ‹เชŸเซเช‚
เชจเชฌเชณเชพเชˆ spring-web-mvc เช˜เชŸเช• เชธเชพเชฅเซ‡ เชธเช‚เชฌเช‚เชงเชฟเชค เช›เซ‡

-
CVE-2014-3625
CVE-2014-3625
เชฎเชงเซเชฏเชฎ
เช–เซ‹เชŸเซเช‚
เชจเชฌเชณเชพเชˆ spring-web-mvc เช˜เชŸเช• เชธเชพเชฅเซ‡ เชธเช‚เชฌเช‚เชงเชฟเชค เช›เซ‡

-
CVE-2016-9878
CVE-2016-9878
เชนเชพเช‡
เช–เซ‹เชŸเซเช‚
เชจเชฌเชณเชพเชˆ spring-web-mvc เช˜เชŸเช• เชธเชพเชฅเซ‡ เชธเช‚เชฌเช‚เชงเชฟเชค เช›เซ‡

-
CVE-2018-1270
CVE-2018-1270
เชนเชพเช‡
เช–เซ‹เชŸเซเช‚
เชตเชธเช‚เชค-เช…เชญเชฟเชตเซเชฏเช•เซเชคเชฟ/เชตเชธเช‚เชค-เชธเช‚เชฆเซ‡เชถเชพเช“ เชฎเชพเชŸเซ‡

-
CVE-2018-1271
CVE-2018-1271
เชฎเชงเซเชฏเชฎ
เช–เซ‹เชŸเซเช‚
เชจเชฌเชณเชพเชˆ spring-web-mvc เช˜เชŸเช• เชธเชพเชฅเซ‡ เชธเช‚เชฌเช‚เชงเชฟเชค เช›เซ‡

-
CVE-2018-1272
CVE-2018-1272
เชนเชพเช‡
เชธเชพเชšเซเช‚

CVE-2014-3578
CVE-2014-3578 (OSSINDEX)
CVE-2014-3578
เชฎเชงเซเชฏเชฎ
เชธเชพเชšเซเช‚

SONATYPE-2015-0327
-
-
เชจเซ€เชšเชพ
เชธเชพเชšเซเช‚

struts2-config-browser-plugin:2.3.30
SONATYPE-2016-0104
-
-
เชฎเชงเซเชฏเชฎ
เชธเชพเชšเซเช‚

spring-tx:3.0.5
-
CVE-2011-2730
-
เชนเชพเช‡
เช–เซ‹เชŸเซเช‚
เชจเชฌเชณเชพเชˆ spring-tx เชฎเชพเชŸเซ‡ เชตเชฟเชถเชฟเชทเซเชŸ เชจเชฅเซ€

-
CVE-2011-2894
-
เชนเชพเช‡
เช–เซ‹เชŸเซเช‚
เชจเชฌเชณเชพเชˆ spring-tx เชฎเชพเชŸเซ‡ เชตเชฟเชถเชฟเชทเซเชŸ เชจเชฅเซ€

-
CVE-2013-4152
-
เชฎเชงเซเชฏเชฎ
เช–เซ‹เชŸเซเช‚
เชจเชฌเชณเชพเชˆ spring-tx เชฎเชพเชŸเซ‡ เชตเชฟเชถเชฟเชทเซเชŸ เชจเชฅเซ€

-
CVE-2013-6429
-
เชฎเชงเซเชฏเชฎ
เช–เซ‹เชŸเซเช‚
เชจเชฌเชณเชพเชˆ spring-tx เชฎเชพเชŸเซ‡ เชตเชฟเชถเชฟเชทเซเชŸ เชจเชฅเซ€

-
CVE-2013-6430
-
เชฎเชงเซเชฏเชฎ
เช–เซ‹เชŸเซเช‚
เชจเชฌเชณเชพเชˆ spring-tx เชฎเชพเชŸเซ‡ เชตเชฟเชถเชฟเชทเซเชŸ เชจเชฅเซ€

-
CVE-2013-7315
-
เชฎเชงเซเชฏเชฎ
เช–เซ‹เชŸเซเช‚
เชจเชฌเชณเชพเชˆ spring-tx เชฎเชพเชŸเซ‡ เชตเชฟเชถเชฟเชทเซเชŸ เชจเชฅเซ€

-
CVE-2014-0054
-
เชฎเชงเซเชฏเชฎ
เช–เซ‹เชŸเซเช‚
เชจเชฌเชณเชพเชˆ spring-tx เชฎเชพเชŸเซ‡ เชตเชฟเชถเชฟเชทเซเชŸ เชจเชฅเซ€

-
CVE-2014-0225
-
เชนเชพเช‡
เช–เซ‹เชŸเซเช‚
เชจเชฌเชณเชพเชˆ spring-tx เชฎเชพเชŸเซ‡ เชตเชฟเชถเชฟเชทเซเชŸ เชจเชฅเซ€

-
CVE-2014-1904
-
เชฎเชงเซเชฏเชฎ
เช–เซ‹เชŸเซเช‚
เชจเชฌเชณเชพเชˆ spring-tx เชฎเชพเชŸเซ‡ เชตเชฟเชถเชฟเชทเซเชŸ เชจเชฅเซ€

-
CVE-2014-3625
-
เชฎเชงเซเชฏเชฎ
เช–เซ‹เชŸเซเช‚
เชจเชฌเชณเชพเชˆ spring-tx เชฎเชพเชŸเซ‡ เชตเชฟเชถเชฟเชทเซเชŸ เชจเชฅเซ€

-
CVE-2016-9878
-
เชนเชพเช‡
เช–เซ‹เชŸเซเช‚
เชจเชฌเชณเชพเชˆ spring-tx เชฎเชพเชŸเซ‡ เชตเชฟเชถเชฟเชทเซเชŸ เชจเชฅเซ€

-
CVE-2018-1270
-
เชนเชพเช‡
เช–เซ‹เชŸเซเช‚
เชจเชฌเชณเชพเชˆ spring-tx เชฎเชพเชŸเซ‡ เชตเชฟเชถเชฟเชทเซเชŸ เชจเชฅเซ€

-
CVE-2018-1271
-
เชฎเชงเซเชฏเชฎ
เช–เซ‹เชŸเซเช‚
เชจเชฌเชณเชพเชˆ spring-tx เชฎเชพเชŸเซ‡ เชตเชฟเชถเชฟเชทเซเชŸ เชจเชฅเซ€

-
CVE-2018-1272
-
เชฎเชงเซเชฏเชฎ
เช–เซ‹เชŸเซเช‚
เชจเชฌเชณเชพเชˆ spring-tx เชฎเชพเชŸเซ‡ เชตเชฟเชถเชฟเชทเซเชŸ เชจเชฅเซ€

เชธเซเชŸเซเชฐเชŸเซเชธ-เช•เซ‹เชฐ:1.3.8
-
CVE-2011-5057 (OSSINDEX)

เชฎเชงเซเชฏเชฎ
FASLE
เชธเซเชŸเซเชฐเชŸเซเชธ 2 เชฎเชพเชŸเซ‡ เชจเชฌเชณเชพเชˆ

-
CVE-2012-0391 (OSSINDEX)
CVE-2012-0391
เชนเชพเช‡
เช–เซ‹เชŸเซเช‚
เชธเซเชŸเซเชฐเชŸเซเชธ 2 เชฎเชพเชŸเซ‡ เชจเชฌเชณเชพเชˆ

-
CVE-2014-0094 (OSSINDEX)
CVE-2014-0094
เชฎเชงเซเชฏเชฎ
เช–เซ‹เชŸเซเช‚
เชธเซเชŸเซเชฐเชŸเซเชธ 2 เชฎเชพเชŸเซ‡ เชจเชฌเชณเชพเชˆ

-
CVE-2014-0113 (OSSINDEX)
CVE-2014-0113
เชนเชพเช‡
เช–เซ‹เชŸเซเช‚
เชธเซเชŸเซเชฐเชŸเซเชธ 2 เชฎเชพเชŸเซ‡ เชจเชฌเชณเชพเชˆ

CVE-2016-1182
3VE-2016-1182
-
เชนเชพเช‡
เชธเชพเชšเซเช‚

-
-
CVE-2011-5057
เชฎเชงเซเชฏเชฎ
เช–เซ‹เชŸเซเช‚
เชธเซเชŸเซเชฐเชŸเซเชธ 2 เชฎเชพเชŸเซ‡ เชจเชฌเชณเชพเชˆ

-
CVE-2012-0392 (OSSINDEX)
CVE-2012-0392
เชนเชพเช‡
เช–เซ‹เชŸเซเช‚
เชธเซเชŸเซเชฐเชŸเซเชธ 2 เชฎเชพเชŸเซ‡ เชจเชฌเชณเชพเชˆ

-
CVE-2012-0393 (OSSINDEX)
CVE-2012-0393
เชฎเชงเซเชฏเชฎ
เช–เซ‹เชŸเซเช‚
เชธเซเชŸเซเชฐเชŸเซเชธ 2 เชฎเชพเชŸเซ‡ เชจเชฌเชณเชพเชˆ

CVE-2015-0899
CVE-2015-0899
-
เชนเชพเช‡
เชธเชพเชšเซเช‚

-
CVE-2012-0394
CVE-2012-0394
เชฎเชงเซเชฏเชฎ
เช–เซ‹เชŸเซเช‚
เชธเซเชŸเซเชฐเชŸเซเชธ 2 เชฎเชพเชŸเซ‡ เชจเชฌเชณเชพเชˆ

-
CVE-2012-0838 (OSSINDEX)
CVE-2012-0838
เชนเชพเช‡
เช–เซ‹เชŸเซเช‚
เชธเซเชŸเซเชฐเชŸเซเชธ 2 เชฎเชพเชŸเซ‡ เชจเชฌเชณเชพเชˆ

-
CVE-2013-1965 (OSSINDEX)
CVE-2013-1965
เชนเชพเช‡
เช–เซ‹เชŸเซเช‚
เชธเซเชŸเซเชฐเชŸเซเชธ 2 เชฎเชพเชŸเซ‡ เชจเชฌเชณเชพเชˆ

-
CVE-2013-1966 (OSSINDEX)
CVE-2013-1966
เชนเชพเช‡
FASLE
เชธเซเชŸเซเชฐเชŸเซเชธ 2 เชฎเชพเชŸเซ‡ เชจเชฌเชณเชพเชˆ

-
CVE-2013-2115
CVE-2013-2115
เชนเชพเช‡
FASLE
เชธเซเชŸเซเชฐเชŸเซเชธ 2 เชฎเชพเชŸเซ‡ เชจเชฌเชณเชพเชˆ

-
CVE-2013-2134 (OSSINDEX)
CVE-2013-2134
เชนเชพเช‡
FASLE
เชธเซเชŸเซเชฐเชŸเซเชธ 2 เชฎเชพเชŸเซ‡ เชจเชฌเชณเชพเชˆ

-
CVE-2013-2135 (OSSINDEX)
CVE-2013-2135
เชนเชพเช‡
FASLE
เชธเซเชŸเซเชฐเชŸเซเชธ 2 เชฎเชพเชŸเซ‡ เชจเชฌเชณเชพเชˆ

CVE-2014-0114
CVE-2014-0114
-
เชนเชพเช‡
เชธเชพเชšเซเช‚

-
CVE-2015-2992
CVE-2015-2992
เชฎเชงเซเชฏเชฎ
เช–เซ‹เชŸเซเช‚
เชธเซเชŸเซเชฐเชŸเซเชธ 2 เชฎเชพเชŸเซ‡ เชจเชฌเชณเชพเชˆ

-
CVE-2016-0785 (OSSINDEX)
CVE-2016-0785
เชนเชพเช‡
เช–เซ‹เชŸเซเช‚
เชธเซเชŸเซเชฐเชŸเซเชธ 2 เชฎเชพเชŸเซ‡ เชจเชฌเชณเชพเชˆ

CVE-2016-1181
CVE-2016-1181
-
เชนเชพเช‡
เชธเชพเชšเซเช‚

-
CVE-2016-4003 (OSSINDEX)
CVE-2016-4003
เชนเชพเช‡
เช–เซ‹เชŸเซเช‚
เชธเซเชŸเซเชฐเชŸเซเชธ 2 เชฎเชพเชŸเซ‡ เชจเชฌเชณเชพเชˆ

xwork-core:2.3.30
CVE-2017-9804
-
-
เชนเชพเช‡
เชธเชพเชšเซเช‚

SONATYPE-2017-0173
-
-
เชนเชพเช‡
เชธเชพเชšเซเช‚

CVE-2017-7672
-
-
เชนเชพเช‡
เช–เซ‹เชŸเซเช‚
CVE-2017-9804 เชจเซเช‚ เชกเซเชชเซเชฒเชฟเช•เซ‡เชŸ

SONATYPE-2016-0127
-
-
เชนเชพเช‡
เชธเชพเชšเซเช‚

struts2-core:2.3.30
-
CVE-2016-6795
CVE-2016-6795
เชนเชพเช‡
เชธเชพเชšเซเช‚

-
CVE-2017-9787
CVE-2017-9787
เชนเชพเช‡
เชธเชพเชšเซเช‚

-
CVE-2017-9791
CVE-2017-9791
เชนเชพเช‡
เชธเชพเชšเซเช‚

-
CVE-2017-9793
-
เชนเชพเช‡
เช–เซ‹เชŸเซเช‚
CVE-2018-1327 เชจเซเช‚ เชกเซเชชเซเชฒเชฟเช•เซ‡เชŸ

-
CVE-2017-9804
-
เชนเชพเช‡
เชธเชพเชšเซเช‚

-
CVE-2017-9805
CVE-2017-9805
เชนเชพเช‡
เชธเชพเชšเซเช‚

CVE-2016-4003
-
-
เชฎเชงเซเชฏเชฎ
เช–เซ‹เชŸเซเช‚
Apache Struts 2.x เชจเซ‡ 2.3.28 เชธเซเชงเซ€ เชฒเชพเช—เซ, เชœเซ‡ เช†เชตเซƒเชคเซเชคเชฟ 2.3.30 เช›เซ‡. เชœเซ‹ เช•เซ‡, เชตเชฐเซเชฃเชจเชจเชพ เช†เชงเชพเชฐเซ‡, เชœเซ‹ JRE 2 เช•เซ‡ เชคเซ‡เชฅเซ€ เช“เช›เซเช‚ เชตเชชเชฐเชพเชฏเซเช‚ เชนเซ‹เชฏ เชคเซ‹ CVE เชธเซเชŸเซเชฐเชŸเซเชธ 1.7 เชจเชพ เช•เซ‹เชˆเชชเชฃ เชธเช‚เชธเซเช•เชฐเชฃ เชฎเชพเชŸเซ‡ เชฎเชพเชจเซเชฏ เช›เซ‡. เชฆเซ‡เช–เซ€เชคเซ€ เชฐเซ€เชคเซ‡ เชคเซ‡เช“เช เช…เชนเซ€เช‚ เช…เชฎเชจเซ‡ เชซเชฐเซ€เชฅเซ€ เชตเซ€เชฎเซ‹ เช†เชชเชตเชพเชจเซเช‚ เชจเช•เซเช•เซ€ เช•เชฐเซเชฏเซเช‚, เชชเชฐเช‚เชคเซ เชคเซ‡ เชตเชงเซ เช–เซ‹เชŸเซเช‚ เชฒเชพเช—เซ‡ เช›เซ‡

-
CVE-2018-1327
CVE-2018-1327
เชนเชพเช‡
เชธเชพเชšเซเช‚

CVE-2017-5638
CVE-2017-5638
CVE-2017-5638
เชนเชพเช‡
เชธเชพเชšเซเช‚
Equifax เชนเซ‡เช•เชฐเซเชธเซ‡ 2017เชฎเชพเช‚ เช เชœ เชจเชฌเชณเชพเชˆเชจเซ‹ เช‰เชชเชฏเซ‹เช— เช•เชฐเซเชฏเซ‹ เชนเชคเซ‹

CVE-2017-12611
CVE-2017-12611
-
เชนเชพเช‡
เชธเชพเชšเซเช‚

CVE-2018-11776
CVE-2018-11776
CVE-2018-11776
เชนเชพเช‡
เชธเชพเชšเซเช‚

เชธเซเชŸเซเชฐเชŸเซเชธ-เชŸเซ‡เช—เชฒเชฟเชฌ:1.3.8
-
CVE-2012-0394
-
เชฎเชงเซเชฏเชฎ
เช–เซ‹เชŸเซเช‚
เชธเซเชŸเซเชฐเชŸเซเชธ2-เช•เซ‹เชฐ เชฎเชพเชŸเซ‡

-
CVE-2013-2115
-
เชนเชพเช‡
เช–เซ‹เชŸเซเช‚
เชธเซเชŸเซเชฐเชŸเซเชธ2-เช•เซ‹เชฐ เชฎเชพเชŸเซ‡

-
CVE-2014-0114
-
เชนเชพเช‡
เช–เซ‹เชŸเซเช‚
เช•เซ‹เชฎเชจเซเชธ-เชฌเซ€เชจเชŸเซ€เชฒเซเชธ เชฎเชพเชŸเซ‡

-
CVE-2015-0899
-
เชนเชพเช‡
เช–เซ‹เชŸเซเช‚
เชŸเซ‡เช—เชฒเชฟเชฌ เชชเชฐ เชฒเชพเช—เซ เชชเชกเชคเซเช‚ เชจเชฅเซ€

-
CVE-2015-2992
-
เชฎเชงเซเชฏเชฎ
เช–เซ‹เชŸเซเช‚
เชธเซเชŸเซเชฐเชŸเซเชธ2-เช•เซ‹เชฐเชจเซ‹ เช‰เชฒเซเชฒเซ‡เช– เช•เชฐเซ‡ เช›เซ‡

-
CVE-2016-1181
-
เชนเชพเช‡
เช–เซ‹เชŸเซเช‚
เชŸเซ‡เช—เชฒเชฟเชฌ เชชเชฐ เชฒเชพเช—เซ เชชเชกเชคเซเช‚ เชจเชฅเซ€

-
CVE-2016-1182
-
เชนเชพเช‡
เช–เซ‹เชŸเซเช‚
เชŸเซ‡เช—เชฒเชฟเชฌ เชชเชฐ เชฒเชพเช—เซ เชชเชกเชคเซเช‚ เชจเชฅเซ€

เชธเซเชŸเซเชฐเชŸเซเชธ-เชŸเชพเชˆเชฒเซเชธ-1.3.8
-
CVE-2012-0394
-
เชฎเชงเซเชฏเชฎ
เช–เซ‹เชŸเซเช‚
เชธเซเชŸเซเชฐเชŸเซเชธ2-เช•เซ‹เชฐ เชฎเชพเชŸเซ‡

-
CVE-2013-2115
-
เชนเชพเช‡
เช–เซ‹เชŸเซเช‚
เชธเซเชŸเซเชฐเชŸเซเชธ2-เช•เซ‹เชฐ เชฎเชพเชŸเซ‡

-
CVE-2014-0114
-
เชนเชพเช‡
เช–เซ‹เชŸเซเช‚
เช•เซ‹เชฎเชจเซเชธ-เชฌเซ€เชจเชŸเซ€เชฒเซเชธ เชนเซ‡เช เชณ

-
CVE-2015-0899
-
เชนเชพเช‡
เช–เซ‹เชŸเซเช‚
เชŸเชพเช‡เชฒเซเชธ เชชเชฐ เชฒเชพเช—เซ เชชเชกเชคเซเช‚ เชจเชฅเซ€

-
CVE-2015-2992
-
เชฎเชงเซเชฏเชฎ
เช–เซ‹เชŸเซเช‚
เชธเซเชŸเซเชฐเชŸเซเชธ2-เช•เซ‹เชฐ เชฎเชพเชŸเซ‡

-
CVE-2016-1181
-
เชนเชพเช‡
เช–เซ‹เชŸเซเช‚
เชŸเซ‡เช—เชฒเชฟเชฌ เชชเชฐ เชฒเชพเช—เซ เชชเชกเชคเซเช‚ เชจเชฅเซ€

-
CVE-2016-1182
-
เชนเชพเช‡
เช–เซ‹เชŸเซเช‚
เชŸเซ‡เช—เชฒเชฟเชฌ เชชเชฐ เชฒเชพเช—เซ เชชเชกเชคเซเช‚ เชจเชฅเซ€

เชธเซ‹เชฐเซเชธ: www.habr.com

เชเช• เชŸเชฟเชชเซเชชเชฃเซ€ เช‰เชฎเซ‡เชฐเซ‹