ααΆααααααΆααααααΆααα·ααΆααααΆαααΆαα»ααααααααααΆααΈααΈααΈ (ααΆααα·ααΆααααΆαααΆααααααα·ααΈ - SCA) αα
αααα»αααααΎαααΆαα’αα·αααααααααα»αααΎαα‘αΎαααΆαα½αααΉαααΆαα
ααααααΆααααΆαααΆααααααα
αΆαααααΆαααααΈααΈααΆαααΆαααααααααααααααΆααααααααααΎαα
αα αααααααΌαααΆαααααα»αααααα Synopsys, Sonatype, Snyk αα·α White Source . αααβααΎβααΆαβαααΆαααΆααα
ααααΈβαα½αβαααα»αβα
ααααβααααΈβαααβαα½αβα±ααβαααβαααααΆαα
α’ααααααααααΉααα·ααΆααααΆα’αααΈαααα αΆααααΆαααααΎαααΎαα§ααααααααααΆααααααΎαααΆα SCA ααΈα
ααα»α
αααα·αααααΆααααα»αααΆααααααααααα·ααΆαα ααΆααααααααααα»αααΆαααα§αααααααααΉαααααΌαααΆααααααααΌααααααα ααααΎαααΆαααααΆαααααΎαααΆα αααααααα
αααα»α CI/CD αα·ααααααααΆααααΆα ααααααααΉαααααΌαααΆααα»ααααααΆααααΆαααααα»αααααΆαααααααααΆααα α§αααααααΆα
αααΎαααααΌαααΆααααα αΆαααα OWASP
αααααααααΆααααΎααΆα
αααααΎα CPE ααΎααα ααΌα α’αααΈα
cpe:2.3:part:vendor:product:version:update:edition:language:sw_edition:target_sw:target_hw:other
- ααααα: ααΆαα ααα’α»ααααα αΆαααΆααΆαα»ααααααΆααααααΉααααααα·ααΈ (a) ααααααααααααα·ααααα·ααΆα (o) αααααααΉα (h) (ααΆαααΆα)
- α’ααααααα ααααααααα»αα αα»αααα·αααα·ααα (ααΆαααΆα)
- ααα·ααα: αααααααα·ααα (ααΆαααΆα)
- αααα: αααααααΆαααΆαα» (ααΆαα»αααααααΎ)
- ααΆαααααΎαα αα αααα»αααααΆα: ααΆαααααΎαα αα α»ααααααααΆααααα αα
- ααααα»αααααΎα: ααααβα αΆαα (ααΆαα»βαααβααΆαβααα·ααα)
- ααΆααΆ: ααΆααΆαααααΆαααααααααα»α RFC-5646
- αααα SWα αααααααααα·ααΈ
- ααααα SWα ααα·ααΆααΆααααααα·ααΈαααααα·αααααααΎαααΆα
- ααααα HWα ααα·ααΆααΆααααααααΉααααααα·αααααααΎαααΆα
- αααααααα: ααααααΆαα’αααΈα’ααααααααααααα α¬ααα·ααα
α§ααΆα ααα CPE ααΎααα ααΌα αααα
cpe:2.3:a:pivotal_software:spring_framework:3.0.0:*:*:*:*:*:*:*
αααααΆααααΆααααααΆ CPE αααα 2.3 αα·αααααΆα’αααΈαααΆαααΆααααααα·ααΈααΈαααα»αα αα»αααα·α pivotal_software
ααΆαα½αααΉαα
αααααΎα spring_framework
αααα 3.0.0 α ααααα·αααΎααΎαααΎαααΆαααΆαααααααα
URL ααααααΌαααΆαααααΎααααΆαααααα§ααααα SCA αααααα αααααα URL αααα ααααΆαααΌα ααΆααααααα
scheme:type/namespace/name@version?qualifiers#subpath
- αααααααΆαααα ααΆαααααααΆα 'pkg' ααααααα αΆαααΆαααααΊααΆ URL αααα αα (ααΆαααΆα)
- αααααα: "αααααα" αααααα αα α¬ "αα·ααΈααΆα" αααααα αα ααΌα ααΆ maven, npm, nuget, gem, pypi ααΆααΎαα (ααΆαα»α αΆαααΆα α)
- ααα ααααα: αα»αααααααααααα½αα ααα½α ααΌα ααΆααααααααΆαααααα»α Maven ααα αΆααααΌαααΆα Docker α’αααααααΎααααΆαα GitHub α¬ααααΆαααα ααααα α α·ααα αα·αα’αΆαααααααΎααααααα
- ααααα: ααααααααα αα (ααΆαααΆα)
- αααα: αααααααα αα
- ααααααααα»αα αα·αααααααα»ααα»αααα·αααααααααααΆαααααα αα ααΌα ααΆ OS ααααΆαααααααα ααΆαα ααα αΆαααα ααΆαααααΎα αα·αααααααααΆααααΆααα
- ααααΌαααα ααααΌααααααααα αααα»ααααα ααααΆαααααα ααΉαα«ααααα αα
α§ααΆα ααα:
pkg:golang/google.golang.org/genproto#googleapis/api/annotations
pkg:maven/org.apache.commons/[email protected]
pkg:pypi/[email protected]
α§ααΆα αααααα’αααΈααα BOM α’αΆα ααΎααα ααΌα αααα»ααααααα XMLα
<?xml version="1.0" encoding="UTF-8"?>
<bom xmlns="http://cyclonedx.org/schema/bom/1.2" serialNumber="urn:uuid:3e671687-395b-41f5-a30f-a58921a69b79" version="1">
<components>
<component type="library">
<publisher>Apache</publisher>
<group>org.apache.tomcat</group>
<name>tomcat-catalina</name>
<version>9.0.14</version>
<hashes>
<hash alg="MD5">3942447fac867ae5cdb3229b658f4d48</hash>
<hash alg="SHA-1">e6b1000b94e835ffd37f4c6dcbdad43f4b48a02a</hash>
<hash alg="SHA-256">f498a8ff2dd007e29c2074f5e4b01a9a01775c3ff3aeaf6906ea503bc5791b7b</hash>
<hash alg="SHA-512">e8f33e424f3f4ed6db76a482fde1a5298970e442c531729119e37991884bdffab4f9426b7ee11fccd074eeda0634d71697d6f88a460dce0ac8d627a29f7d1282</hash>
</hashes>
<licenses>
<license>
<id>Apache-2.0</id>
</license>
</licenses>
<purl>pkg:maven/org.apache.tomcat/[email protected]</purl>
</component>
<!-- More components here -->
</components>
</bom>
BOM α’αΆα
βααααΌαβααΆαβααααΎβαα·αβααααΉαβααβααΆβαααΆαααΆααααααβαααα
αΌαβαααααΆααβααβα’αΆαααααβααα»αααααβααβ ααα»ααααβααβαααααΆααβααΆαβαααα
αΌαβαααΆαααΆαα»βααΌα αααααβαααα»αβαααααΆααβααααααααααβααΆβα§ααΆα αααβαααααΆααβααΆαβαααααβαααααα·ααΈβαααβα’αα·αα·ααα αα
ααααΆα 2014 ααΌααααΈααα
αααΆαααα½αααααΌαααΆαααααΎα‘αΎααα
αα ααααα’αΆαααα·α
αααααααα SCA αα·α Dependency Track ααΆααααΆα αααααααααααααααα½α ααΆααααα ααΆαα½αααΉααααααα·ααΈ Notification Platforms ααΌα ααΆ Slack αααααααααααααααααααΆαααΆααααααααααΌα ααΆ Kenna Security ααΆααΎαα ααΆααααΆαααααααααααααααα·ααΆαααΆ Dependency Track αααα»αα αααααααααααααααα αααααααααα α½ααααααααααα αα αα·ααααααααααααΆαα’αααΈα’αΆααααΆααααα (αααααΆαααΆαααΆαααα SPDX)α
ααααα·αααΎααΎααα·ααΆαααΆαα·αααα’αααΈαα»αααΆααα SCA αααααΆααΆαααΆααα»αααααΆααΆααΌαααααΆαα
Dependency Track αα·αααα½αααααααααααΆααΆααααα
αΌααα ααα»ααααααΆ BOM α αααααΆααααααΆ ααααα·αααΎααΎαα
ααααΆαααααααααααααααΌα ααΎαααααΌααααααΎα bom.xml ααΆα§ααΆα ααα αααααααΎ CycloneDXα ααΌα
αααα Dependency Track ααΊααΉαααα’αααααααααΆααααΎ CycloneDXα αααα»ααααααΆαα½αααααΆαααααΆα’αα»ααααΆαα±ααααΆαααΆαααααΌαααΆαααααα αααααΆα’αααΈααααααα»αααΆαααΆα OZON ααΆαααααα
α αΌαβααααααβαα»αααΆαβαα½αβα ααα½α α αΎαβααβαα·α αΆαααΆβα’αααΈβααΆααΆβαααβααΆααααβαααααΆααβααΆαβαα·ααΆαα
ααΆααΆ
Nexus IQ
ααΆααααα½ααα·αα·αααααΆαα’αΆααααα
ααα’αΆααααα
αααααααΆ
+
+
+
C / C ++
+
+
-
C#
+
+
-
α αα»ααα
+
+
+
α’ααα‘αΆαα
-
-
+
JavaScript (NodeJS)
+
+
+
αααααα·ααΈ PHP
+
+
+
αααααααΆαα
+
+
+
Ruby αααα
+
+
+
Perl
-
-
-
Scala
+
+
+
αααααααα
+
+
-
Swift ααΆα
+
+
-
R
+
-
-
Go
+
+
+
αα»αααΆα
αα»αααΆα
Nexus IQ
ααΆααααα½ααα·αα·αααααΆαα’αΆααααα
ααα’αΆααααα
αααααααΆααααα»αααΆαααΆααΆααΆαααΆαααΆαα»αααααΆαααααΎαα
αααα»αααΌααααααααααΌαααΆααα·αα·ααααααααΆααααΆαααα·αα»ααααααααΆαα’αΆααααΆααααα
+
-
+
αααααααΆααααα»αααΆαααααα αα·ααα·ααΆαααααΆαααΆαααααααα αα·αααΆαααα’αΆαααα’αΆααααΆααααααααααΆααααΌαααΆα Docker
+ ααΆααα½ααααα
αΌαααΆαα½α Clair
-
-
αααααααΆααααα»αααΆαααααααα
ααΆαααααααααααααΆααααα»ααααα·ααΆαααΎααααΈααααΎαααααΆααααααααααΎαα
αα
+
-
-
αααααααΆααααα»αααΆααααααααααΆαααααααααΎαα
αα αααααΆαααααΆαααΆαα»αααααΆαααααααα
+ RubyGems, Maven, NPM, Nuget, Pypi, Conan, Bower, Conda, Go, p2, R, Yum, Helm, Docker, CocoaPods, Git LFS
-
+ Hex, RubyGems, Maven, NPM, Nuget, Pypi
ααΆαα’αΆα
ααααΆααααααα»αααααΆαααααΆαα―αααα
+
-
-
ααααα·ααααα·ααΆαααααα·ααα»ααα·α
+
+
+
ααΆαααααΎααααΆααααΌαααααΆααα·ααααααααΆααΈααΈααΈ
+ αα·αααΌαααααΆααα·αααααα Sonatype
+ Sonatype OSS, NPM ααΈααααΉααααΆααΆααΆααα
+ Sonatype OSS, NPM Public Advisors, RetireJS, VulnDB, ααΆαααΆαααααααααΆααααΌαααααΆααα·ααααααααΆαααΆααααααααααααΆαααααα½αα
αααααααΆααααα»αααΆααααααααΆαααΆαα»αααααααΎαα
αα αα
αααααααΆααΆααααα»ααα
αααα»αααααα·ααα»αα’αα·ααααααααααααααΆααααααΆααααααααΆαααααααα
ααΆαααααααα
+
-
-
ααΆαααααΆααααααΆαααα½ααα»αααΆαααΆαααααααα ααΆαα’αΆα
ααααΆααααααααααΆααααΎααααΈαα½ααα»α
+
+- (α’αΆαααααααΎααΆααα·αααααΆαα
αααα»αααΌαααααΆααα·ααααααααΆααΆααα)
+- (α’αΆαααααααΎααΆααα·αααααΆαα
αααα»αααΌαααααΆααα·ααααααααΆααΆααα)
α
αααΆααααααΆααααααΆαααΆαααααααααααααΆαααααΎααααααΆαααααααααα
+
+
+
ααααΌααααΆαα
αΌαααααΎαααααα’ααααΎαα½ααΆααΈ
+
-
+
ααΆαααΆαααα CLI
+
+
+- (αααααΆαααα CycloneDX)
ααααΌ/ααααααααΆαααΆααααααααααααααααΆααααααααα·αα·α
αααααααααΆαααααα
+
-
+
ααααΆαααααααααααααΆαααααΆαααΆααααααα·ααΈ
+
-
+
ααΆααααααΎααααΆαααΆαααααΆαααααα PDF
+
-
-
αααα»ααααααΎααααΆαααΆαααααΆαααααα JSONCSV
+
+
-
ααΆαααΆααααααΆααΆαα»αααααΈ
-
-
-
αααααααΆααα½ααααα αΌαααααΆ
αααΆα αααααα
Nexus IQ
ααΆααααα½ααα·αα·αααααΆαα’αΆααααα
ααα’αΆααααα
ααΆααα½ααααα
αΌα LDAP/Active Directory
+
-
+
ααΆαααααΎαααΆα ααααααααΆαα½ααααααααααα½ααααα
αΌαααααΆααΆαααααααααΆααα«ααααΈ
+
-
-
αααΆα ααααααααΆαα½ααααααααααα½ααααα
αΌαααΆαααααααααΆαα TeamCity
+
-
-
αααΆα ααααααααΆαα½ααααααααααα½ααααα
αΌαααΆαααααααααΆαα GitLab
+
+- (ααΆαααααα·ααΈαααα½ααααααΆαα GitLab)
+
αααΆα ααααααααΆαα½ααααααααααα½ααααα
αΌαααΆαααααααααΆαα Jenkins
+
+
+
ααΆαα’αΆα
ααααΆααααααααα·ααΈαααα½ααααααΆαα IDE
+ IntelliJ, Eclipse, Visual Studio
-
-
ααΆαααΆαααααααααΆααααΆααα½ααααα
αΌαααααΆαααααα½αααΆααααααααΆααααααα ααααα (API) ααα§ααααα
+
-
+
ααΆααααα½ααα·αα·αααααΆαα’αΆααααα
α αΆααααααΎαααΆααΎαααααΌα
αααααααΎαααΆα Dependency Check ααΎαααααα·ααΈαααααΆαααααααααααα
ααααΆ
αααααΆααααΏααααααΎαααΉαααααΎ
mvn org.owasp:dependency-check-maven:check
ααΆαααααα dependency-check-report.html ααΉααααα αΆααα αααα»αααααααα α
αααααΎαα―αααΆαα αααααΆααααΈααααααΆαααααααα’αααΈα
ααα½αααΆαααΆααααααααααα»α ααΎαα’αΆα
ααΎαααααααΆαα’αααΈααΆαααΆααααααααααΆαα½αααΉαααααα·αααααΆαααααααααα αα·ααααα»αα
α·αααααααα ααααααα αΆαααΈαααα
αα CPE αα·αα
ααα½α CVEs α
αααααΆααααΆαααααααΆααααα’α·αααααααααα ααΆαα·αααααΌαααααΆααααααΆααααααα α α·αααααααΌαααΆαααααΎα‘αΎα (ααααα»ααΆα) αααααΊααΆ BOM ααΆααααΆαααα½αα
αααααΆααααααΆααα·αααααΆ CPE, PURL αα·α CVE α ααααα·ααΈααα α’αα»ααΆααααααααΆααααΆααααααααΌααα·αααααΌαααΆαααΆαααααα
αΌααα αααααΆαα’ααααααΆαααααααΆαα
αααα»αααΌαααααΆααα·αααααα NVD α
ααΎααααΈααΎααααααααααααααΆαααααααα α’αααα’αΆα
ααααααα
ααΆαααααααα Nginx ααΆαα½αααΉαααΆαααααααα·α
αα½α
αααα»α α¬ααααΎαααααααααααααα
ααααααααααααααααααα·ααΆαααΆααααααΆααααα§αααααααααΆαααα
ααΆααααα½ααα·αα·αααααΆαα’αΆαααααα α§ααΆα ααα Defect Dojo α
ααα’αΆααααα
ααΆαααααα
αααααΆααα·αααα Dependency Track ααΊααΆαααα·ααΆαααααΆαααΌαααααΆαααΎαααααΆααααααΆαααααΆα αααααα αΆα ααΌα
αααααααα αΆααααααααααΆααααααΆαα»ααα·ααΆαααΆααα
αααα»ααααααααααΆαααΆααΈααΈααΈαα·αααΎαα‘αΎααα
ααΈαααααα
ααααααΈααααααΆαααααααααΆααααΆαααα‘αΎαααΊα Docker, WAR, Executable WAR α
α αΆααααααΎαααΆααΎαααααΌα
ααΎαα αΌααα ααΆαα URL ααααααΆααααααααααα»αααααΎαααΆαα ααΎαα αΌαααΆαααα admin/admin ααααΆααααααΌαααΆαα αΌα αα·αααΆααααααααΆαα α αΎααααααΆααααα αΌααα ααΆααααααΆαααααααααααα ααΏααααααΆαααααααΎαααΉαααααΎααΊαααααΎααααααααααααΆαααααααα·ααΈααΆααααααα αααα»α Java in αααααααΎα/αααααα β αααααΎααααααα . α αΌααα DVJA ααΆα§ααΆα αααα
αααααΆαααααα’αΆαααααα’αΆα
ααα½αααααΆααα BOM ααΆααΆααααα
αΌα BOM αααααααΌααααα
ααα αααααΆααααααααααα
mvn org.cyclonedx:cyclonedx-maven-plugin:makeAggregateBom
ααΎαααα½αααΆα bom.xml α αΎααααα»αα―αααΆααα αααα»ααααααααααααΆααααααΎα DVJA β ααΆαα’αΆααααα β αααα»αα‘αΎα BOM.
ααααα ααααααΆα β α’ααααα·ααΆαα ααΎαβαααβααΆβααΎαβααΆαβααβα’αααβαα·ααΆαβααΆααααα»αβαααβααΆαβααΎαβααα»ααααα αααβαα½αβααΆα NVD α α αΌαααΎαααααΆαα Sonatype OSS Index αααααα
ααΌα
αααα ααΎαααα½αααΆαααΌαααΆαααΆαααααααααααΆααααααααααααααΎαα
αα
αααα»ααααααΈααααα α’αααα’αΆα
ααααΎαααΆαααΆαααααααααα½ααααα’αΆα
α’αα»ααααααΆαα
αααα Sonatype OSSα
ααΆαααα
α·αααα
ααααααΊααΆ Dependency Track αααααα½ααααααΆαααΆααα Dependency Check xml αααα αΎαα αααααααααΆααααα
α»αααααααααα»αααααΆααα½ααααα
αΌαααΆααααα½ααα·αα·αααααΆαα’αΆαααααααΊ 1.0.0 - 4.0.2 ααααααααααααα»αααΆαααΆααααα 5.3.2 α
αα
ααΈααα
Nexus IQ
α αΆααααααΎαααΆααΎαααααΌα
ααΆαααα‘αΎα Nexus IQ ααΆαααααΈααααααΆααααα
αααααΆααααΈα αΌααα αααα»ααα»αααΌα α’αααααααΌααααααΎαα’αααααΆα αα·ααααααα·ααΈα
ααΌα
αααα’αααα’αΆα
ααΎαααΎα ααΆααααα
ααααα»αααααΈ IQ ααΆαααΆααααα»αααααααΆαααΆααααααααα·α
αααααααΎαααααααΌααααααΎααααααΆααααααα’αΆα
α’αα»ααααααΆααααααΆαα "ααααΆααααΆα" ααααααααααΆ (dev, build, stage, release)α αααααΊα
αΆαααΆα
αααΎααααΈαααααααΆαααααΆαααΆαα»αααααΆαααααααα αα
αααααααα½αααΆααααΆααααΈααΆααααααααΆαααααα·ααα
αα·αααΆαααα·α α¬αααααααΆαααα½αααΆααααΆαααα
αααααααα½αααα
αΌααα
αααα»α Nexus Repo αα
ααααααα’αααα’αα·ααααααααααΌαααΆαααΆαααα
ααΎααααΈααΆαα’αΆααααααααΆααΆαααΆααα»αααααΆαααΆααααααααΎαα
αα αα·ααα ααααΆα ααΌαααααΎααΆααααααααΌα
ααααΆααΆαααα Nexus IQ ααΆαααααααΌα
ααααΆα dvja-test-and-compare
:
mvn com.sonatype.clm:clm-maven-plugin:evaluate -Dclm.applicationId=dvja-test-and-compare -Dclm.serverUrl=<NEXUSIQIP> -Dclm.username=<USERNAME> -Dclm.password=<PASSWORD>
α’αα»ααααααΆα URL αα ααΆαααααΆαααΆααααααααΆααααααΎααα αααα»αα ααα»α αααααΆαααααααΆα IQα
αα
ααΈαααα’αααα’αΆα
ααΎαααΎαααΆαααααΆααααααΆαααααΆααα’ααααααααα αΆαααΈααααα·αααΆααααααΆααααααααααααΆ (ααΈααααααΆααα αΌαααααα»ααααα·ααΆαααααΆαα)α α’αααα D αα
ααΆααααΉααααΆαααΆα ααΆααααααΆ αααΆαααΆαα»ααΊα’αΆααααααααααααΆαα α αΎαα’αααα T αα
ααΆααααΉααααΆαααΆα ααΆααααααΆ αααΆαααΆαααΊααΆαα’αΆαααααααααααΆαα αααααΊααΆααΆα’ααααααΆαα
ααααα·ααΈααααααΆαααΆααα
ααααα·αααΎααΎαααΎαααΆαααααΆααααααΆααα Nexus IQ ααΆαα½αααα ααΎαα’αΆα ααΎαααΆααα·αααααΆα’αααΈαααΆαααΆα ααααΌα ααΆ Version Graph ααααααα αΆαααΈααΆαααααααααα αα α»αααααααα αααα»αααααΆα αααααααααΆ ααααΌα ααΆαα α ααα»α ααΆαααααΆαααΆαααααααααααααααΎαααΆαα ααΆααααααααα ααααααααααααα ααΎααααΆα αααααα αΆαααΈααΆαααααα·ααααααΆαααααΎααααΆαααααΆαααΆαα»αααα
ααααα·αααΎα’αααα
αΌααα
ααΆαααααααααΆαααΆαααααααα αα·ααααααΈα CVE α’αααα’αΆα
α’αΆαααΆααα·αααααΆα’αααΈααΆαααΆααααααααααα ααΆαααααΆααααααΆααααΆααα»αααααΆαα ααααΌα
ααΆααΌαα ααα»ααααααΆαααΆαα»αααααααΌαααΆαααααΆα αααααΊααΆααααααΆαααααααααΆααα DiskFileitem.class
.
α
αΌαβααααααβααβαααααβαααβααΆααααβαα
βααΉαβαααΆαααΆα Java ααΆααΈβααΈααΈ αααβααβαααΆαααΆαα» js α
ααα αα
αααα»αααααααα
α ααΎααααα αΆαααΈα
ααα½αααααΆαααΆαααααααααααααααΌαααΆαααααΎααα
ααΆααααα
NVD α
Nexus IQ ααα»αα
- ααΆαα’αΆααααααααααΆααααααα α¦α’
- ααΆαα’αΆααααααααααΆααααααααα α‘α¦
- ααΆαααΆααααααααααααΌαααΆαααααΎαα 42 (8 sonatype db)
ααΆααααα½ααα·αα·αααααΆαα’αΆαααααααα»αα
- ααΆαα’αΆααααααααααΆααααααα α¦α’
- ααΆαα’αΆααααααααααΆααααααααα α‘α¦
- ααΆαααΆααααααααααααΌαααΆαααααΎαα 91 (14 sonatype oss)
ααβαααβα’αΆαααααβααα»αα
- ααΆαα’αΆααααααααααΆααααααα α₯α©
- ααΆαα’αΆααααααααααΆααααααααα α‘α¦
- ααΆαααΆααααααααααααΌαααΆαααααΎαα 51 (1 sonatype oss)
αα ααα αΆααααααΆαα ααΎαααΉααα·ααΆααααααααααααα½αααΆα αα·αααα±ααααΎαααΆααΎααΆαααΆααααααααααΆαα½αααΆαα·ααΆαααΆααα·αααααΆαα αα·ααα½αααΆααΆαα·αααααΆααα·ααα·αα
α’αα
ααΆααα·αα·αααα‘αΎααα·αααααα·ααααααΆααΆααα·αααααα·αα’αΆα ααααααααΆαααα α’ααααα·αααααα·αααΆαααααα ααΎααααΈααααα α§αααααααΆα ααααα‘αααα½ααααααΆααααΉαααααααΆααααααααααα’ααααααααα αααααααααααΆααααα½ααα·αα·αααααΊααΎααααΈαααα αΆαααΈααααααΆαααααααα·ααααα·ααΆαααα§ααααα SCA αα·ααα·ααΈααΎααααΈαα·αα·αααααΎααααααααααααα½αααα
ααΆααααααααααααααα
Π£ΡΠ»ΠΎΠ²ΠΈΡ:
ααΆααα·αααααΆααα·ααα·ααααααΆααααΆαααΆαααααααααααααΆαααΆαααΆααΈααΈααΈααΊα
- CVE αα·ααααΈααααΆααΉααααΆαααΆαα»αααααΆαααααα
- α§ααΆα ααα ααααα·αααΎααΆαααΆααααααααααααΌαααΆαααααααα αααα»αααααααααα struts2 α αΎαα§αααααα ααα’α»ααα ααΆαα»ααααααααααααααα struts-tiles αααααΆαααΆααααααααααααα·αααααΌαααΆαα’αα»αααα ααααααααΊααΆαα·αααααΆααα·ααα·α
- CVE αα·αααααΌαααααΆααΉααααααααααΆααααααα’ααααααααΆααααααΆαααΆα
- α§ααΆα ααα ααΆαααΆααααααααααααΌαααΆαααααΆαααα αααα python > 3.5 α αΎαα§ααααααααααΆαααααα 2.7 ααΆααΆαααααααα - αααααΊααΆααΆααα·αααααΆααα·ααα·α αααααααΆααα·α ααΆαααΆααααααααα’αα»ααααα ααααααΆααΆααα·ααα 3.x ααα»αααααα
- αααα½α CVE
- α§ααΆα ααα ααααα·αααΎ SCA αααααΆαα CVE αααααΎα RCE ααα SCA αααααΆαα CVE αααααΆαααααΆαααΆαααΌα ααααΆααα αααα’αα»ααααα ααααααα·ααα Cisco ααααααααααααΆααααα RCE αααα αααα»αααααΈαααααΆααΉαααααΆαααΆαα·αααααΆααα·ααα·αα
- ααΆα§ααΆα ααα CVE ααααΌαααΆαααααΎααα αααα»ααααΆαααΆαα» spring-web αααααΆααααΈααα SCA α ααα’α»ααα CVE ααΌα ααααΆαα αααα»ααααΆαααΆαα»αααααααααα Spring Framework ααααααααα CVE αα·αααΆαα’αααΈαααααααΌαααααΎααΆαα½ααααΆαααΆαααααααααα αααα»αααααΈαααααΆααΉαααααΆαααΆαα·αααααΆααα·ααα·αα
ααααααααα»ααααΆααα·ααααΆααΊαααααααααααααΎαα αα DVJA α ααΆααα·ααααΆαααααΆααααααααα java components (αααααααΆα js)α
αααααααααααα
α αΌαααΎααααααα ααααααααααΆααααα½ααα·αα·ααααααααα’αααΈααΆαααΆαααααααααααααΆααααααα’ααααααααΆαα αααΆαααΆααααααααααααααΆαα CVE ααΈαα½ααα’αΆα ααααΆααα αααα»αα§αααααααααα
αααααααααααααααααΆααααΆαααΆααααααααααΆααα’ααα
αααΆαααΆαααααα
Nexus IQ
ααΆααααα½ααα·αα·αααααΆαα’αΆααααα
ααα’αΆααααα
ααΆαααΆααααααααααα»αααααΌαααΆααααααΆαα
42
91
51
ααΆαααΆαααααααααααααΆααααααα’ααααααααΆααα·αααααΉαααααΌα (αα·αααααΆααααααααααΆα)
2 (4.76%)
62 (68,13%)
29 (56.86%)
αααα·αααΎαααΆαααΆαααααααααααααΆααααααα (αα·ααα·αα’αα·αααααΆα)
10
20
27
ααααααααααααααααααΆαααΆαα»α
αααΆαααΆαααααα
Nexus IQ
ααΆααααα½ααα·αα·αααααΆαα’αΆααααα
ααα’αΆααααα
αααΆαααΆαα»ααα»αααααΌαααΆαααααα
62
47
59
αααΆαααΆαα»ααΆααααααααααα»α
16
13
10
αααΆαααΆαα»ααΆαααααααααααααΆααααααα’ααααααααΆααα·αααααΉαααααΌα (αα·αααααΆααα·ααα·α)
1
5
0
αααΆαααΆαα»ααΆαααααααααααααΆααααααα’ααααααααΆααα·αααααΉαααααΌα (αα·αααααΆααα·ααα·α)
0
6
6
α αΌαααΎααααααΎαααααΆα αααααααΎαααΎα ααΎααααΈααΆαααααααααΆααΆαααααααΆααα·αααααΆααα·ααα·α αα·αα’αα·αααααΆααα·ααα·ααα ααΉαα ααα½αααα»αααααΆαααΆααααααααα αααΆαααΆαα»ααααΌαααΆααααααΆαααααααααα α αΎαααΆαααΆαααααααααααααααΌαααΆαααααααα αααα»ααα½αααΆααααΌαααΆααααααΆαααααααα
αααααΆααααΆααααααααα ααΆααα·ααααΆααααααααααΆαααααααΌαααΆαααααΎα‘αΎαααααααα»α Sonatype ααΆααααααααααααααααΆαααΆαα» 1531 αααααααΎ OWASP Dependency Check α ααΌα
αααααΎαα’αΆα
ααΎαααΎα αααΆααΆααααααααααααααΆαα
ααααααΆαααααΎαααααααΉαααααΌαααΊα’αΆα
αααααααααα
ααΉαααααααααααααΎαα
ααααα:
ααΌααααα‘ααααΎα CVEs αα½αα ααα½αααΈαααααααααααααααααΎα ααΎααααΈαααααΈααΌαα ααα»ααααααααααΆαααααα
α αααΎαααα
ααα
ααΌααααα‘ααααΎαα ααα»α αα½αα±ααα αΆααα’αΆαααααααα½αα ααα½αα’αααΈ Sonatype Nexus IQ ααΆααααΌαα
Nexus IQ α ααα’α»αβαααα αΆαβαααα αΆβαα½αβααΆαα½αβααΉαβααΆαβααααΆααβαααααβααΆαα½αβααΉαβαααααααΆαβαααα»αβααΆαβα’αα»αααα RCE αααα»α Spring Framework α αααΎαβααα CVE-2016-1000027 αα αααα»α spring-web: 3.0.5 first time, and CVE-2011-2894 in spring-context: 3.0.5 αα·α spring-core: 3.0.5. ααααΌα ααΆαααα αΆαααΆααΆαααΆαα ααααααΆαααΆαααααααααα ααΌααΆαα CVEs α αααΎαα αααααΆαααααααα·αααΎα’ααααααα‘ααααΎα CVE-2016-1000027 αα·α CVE-2011-2894 αα αααα»αααΌαααααΆααα·αααααα NVD ααΆα αΆααααΌα ααΆα’αααΈαααΆααα’ααα αααΆαα
αααΆαααΆα
ααΆαααΆαααααααα
ααα ααααααα·ααΆααααΌαα α£.α .α₯
CVE-2016-1000027
ααα·αααα·ααΆααααΌαα α£.α .α₯
CVE-2011-2894
ααααΌααα·ααΆααααΌαα α£.α .α₯
CVE-2011-2894
ααα·ααΆα
ααα·ααΆα
CVE-2011-2894 αααα½αααΆααααΈααααΆαααΆααα αα
αααα»ααααΆαααΆααα RemoteInvocationSerializingExporter
αα
αααα»α CVE-2011-2894 ααΆαααΆααααααααααααΌαααΆαα’ααααααα
αααα»α HttpInvokerServiceExporter
. αααααΆα’αααΈααα Nexus IQ ααααΆααααΎαα
ααααααΆαααΆααααα αα·αααΆαα’αααΈααΌα
ααααα
αααα»α NVD αα ααααααααΆααΌαα ααα»αααααΆααααα½ααα·αα·αααααΆαα’αΆααααα αα·αααΆαααΆαααΆαα’αΆαααααααΈαα½ααααα½αααΆαα’αα·αααααΆααα·ααα·αα
αααααααΈααΆααα·αααααΆαα CVE-2011-2894 ααΆα’αΆα αααααΆαααΆααΆαααΆααααααααααΊαα·αααΆααΆαααααααΆααα αααα»αααα·αααα·ααΆααααΌα: 3.0.5 αα·αααααΌααα·ααΆααααΌα: 3.0.5 α ααΆααααααΆααα’αααΈαααα αΆαααα’αΆα ααααΌαααΆαααααΎααα αααα»αα’ααααααα½αααΈα’ααααααααΆαααααΎαααΆαααΆαααααααααααα
ααα
αααΆαααΆα
ααΆαααΆαααααααα
αααααα
struts2-core: 2.3.30
CVE-2016-4003
αα·ααα·α
ααααα·αααΎααΎααα·ααααΆααΈααΆαααΆαααααααα CVE-2016-4003 ααΎαααΉααααααΆααΆααααΌαααΆααα½ααα»ααα αααα»ααααα 2.3.28 αααααΆαααΆαααΆααααα Nexus IQ ααΆαααΆαααααααΎαα ααΆαααααααααααΆαααα αααα»αααΆααα·αααααΆα’αααΈααΆαααΆααααααααα
αααααΊ ααΆαααΆααααααααααΆααααα
αααα»αααΆαααααΆααααΆαα½αααααα α½ααααααα JRE ααααα½ααααααααα
α
α·ααααααααΆαααΎαα αααΆαβααΆβααβααα ααΎαβα
αΆααβαα»αβ False Positive ααα αααβααΈβααΆβαα·αβα’αΆαααααβαααα»αβααβαααα
β α‘α‘α‘
αααΆαααΆα
ααΆαααΆαααααααα
αααααα
xwork-coreα 2.3.30
CVE-2017-9804
αα·α
xwork-coreα 2.3.30
CVE-2017-7672
αα·ααα·α
ααααα·αααΎααΎααααα‘ααααΎαααΆααα·αααααΆαα CVE-2017-9804 αα·α CVE-2017-7672 ααΎαααΉααααααΆαααα αΆααΊ URLValidator class
αααααΆα CVE-2017-9804 ααΎαααΈ CVE-2017-7672 α ααααααΆαααααΆαααΆααααααααααΈααΈααα·ααααα»αααααα»ααααααΆααααααααααααα
ααΈααΆααα·ααααααΆααΆααααααααααααααααΆααΆαααΎαα‘αΎααααααααα·αααααα ααΌα
ααααααΎαα’αΆα
α
αΆαααα»αααΆααΆααΆαααααααααΆαααααα·αα
αΆαααΆα
αα
ααα»ααα ααααΆαααΆααα·αααααΆααα·ααα·αααααααααααααΌαααΆαααααΎααααααΆαα Nexus IQ ααα
ααα
ααΆαα ααα»α αα½αα ααα½ααααααααΎα±αα IQ ααα ααααα ααααΈαααααααααΆαααααααααα
αααΆαααΆα
ααΆαααΆαααααααα
αααααα
ααα ααααααα·ααΆααααΌαα α£.α .α₯
CVE-2020-5398
αα·α
CVE αα
αααα»α NVD α
ααααΆααΆα’αα»ααααααα
αααααααα 5.2.x αα»α 5.2.3, 5.1.x αα»α 5.1.13 αα·ααααα 5.0.x αα»α 5.0.16 αααααΆαααΆαααΆααααα ααααα·αααΎααΎαααΎαααΆααα·αααααΆ CVE αα
αααα»α Nexus IQ αααααΎαααΉαααΎαααΌα
ααΆααααααα
ααα
ααααΈααΌαααααΉαα’αααΈαααααΆαααααΆαααααΉααααΆα αααα»αααααΆαααααΆααα»ααααα·ααΆα Sonatype ααΆαααααΎαααΆααΆαααΆαααααααααααααααΌαααΆαααααΆααα
αααα»ααααα 3.0.2.RELEASE αα·ααα·αααα 5.0.x ααΌα
ααΆαα
αααααα»αααΆαααααΆααααααα
αααααααΌαααΆαααααααα PoC αααααΆααααΆαααΆααααααααααα ααααααααΆααααΆααΆααΆαααααααΆααα αααα»ααααα 3.0.5 α
α’αα·αααααΆααα·ααα·αααααΌαααΆαααααΎαα ααΆααααΆααααα½ααα·αα·αααααΆαα’αΆααααα αα·αααΆαααΆαααΆαα’αΆαααααα
ααα
ααΌααααα‘ααααΎαααΆααα·αααααΆααα·ααα·ααααααΆααααΆααααα½ααα·αα·αααααΆαα’αΆααααα αα·αααΆαααΆαααΆαα’αΆαααααα
Dependency Check ααΆαααΆαααα αααααααααΆαααα»ααααα αΆααααΈ CVEs ααΆααααααααα’αα»ααααα αααααααααααααααΆααααΌααα αααα»α NVD α αααααααΆαααΆαα»ααα CVEs ααΆααααααα·αα’αα»ααααα αααααΆααααααΉα CVE-2012-0394, CVE-2013-2115, CVE-2014-0114, CVE-2015-0899, CVE-2015-2992, CVE-2016-1181, CVE-2016-1182 ααΆααααα½ααα·αα·αααα‘αΎα βαααα’αΆααααα β αα struts-taglib: 1.3.8 αα·α struts-tiles-1.3.8 α αααΆαααΆαα»ααΆααααααα·αααΆαααΆαααααααααΉαα’αααΈαααααΆααα·αααααΆαα αααα»α CVE ααααα - ααααΎαααΆαααααΎαα»α αα»ααααΆαααααα αα·αα’αααΈαααααααααα αααααΊαααααΆαααααΆααα·ααααααΆ CVEs αα·ααααΆαααΆαα»ααΆαααααααΆαααΌα ααααΆααΊααααΆααααααΆαααααααααααα»ααααα αααααΆααΌαα ααα»ααα Dependency Check α αΆαααα»αααΆααΆααΆααΆαααΆααααααααα
ααααΆαααΆαααΌα ααααΆααΊααΆαα½α spring-tx:3.0.5 αα·αααααΆαααΆαααααααααααΆααΆαα½α struts-core:1.3.8α αααααΆαα struts-core, Dependency Check αα·α Dependency Track ααΆαααααΎαααΆαααΆααααααααααΆα αααΎα ααααα·αααΆα’αΆα α’αα»ααααααΆαα αααα struts2-core αααααΆαααααααααααΆα ααααα‘αααα½αα αααα»αααααΈααα Nexus IQ ααΆαααααααΆαα αααΆααααΌαααΌαααΆα α αΎααα αααα»α CVEs αααααΆααΆαα αα ααΆαααα αΆαααΆ struts-core ααΆαααΆααααααΈαααα ααααααΈαα·α α αΎαααΆα αΆαααΆα ααααα»αααΆαααααΆααααΈαα struts2-core α
ααα
αα αααα»αααααΆαααΆααααα ααΆαα·ααα»αααα·ααααααααα»αααΆαααααααΆαααα α»αααααΆααααα½ααα·αα·αααααΆαα’αΆααααα αα·αααΆαααΆαααΆαα’αΆαααααααΆαααααααα ααΆαα·ααα CVE-2013-4152, CVE-2013-6429, CVE-2013-6430, CVE-2013-7315, CVE-2014-0054, CVE-2014-0225, CVE-2014-0225 ααααα·αα·αααααΆαα’αΆααααα αα·αααΆαααΆα αααααααΆααΆααααΌααα·ααΆααααΌα: 3.0.5 ααΆααα·αααΆαααααα·αααα·ααααααα ααααααα·ααΆααααΌα: 3.0.5 α αααα»ααααααΆαα½αααααΆαααααα CVEs ααΆααααααα½αα ααα½αααααααΌαααΆαααααΎαααα Nexus IQ ααααα αααααΆαααΆαααΆααααα IQ ααΆααααααα’ααααααααΆααα½αααΆαααΆαααααΉαααααΌααα ααΉααααΆαααΆαα»αα½αααααααααα αααααΆαααααΆαααΆααααααααααΆααααααα·αααααΌαααΆαααααΎααα αααα»α Spring-core ααΆαα·αα’αΆα ααααααααΆαααΆαα½ααααα·ααααα·ααα αααα»ααααααααααααΆαααααΆααα α αΎαα§ααααααααααααΎαα αα ααΆαα ααα’α»ααααα αΆααααΆαααααΉαααααΌαααΌαααΆαααΆααααααααααΆααααα (αα½αααααααΆααααααααΆαααααα·α ααααα½α ααα»ααααα)α
ααΆαααααΎα
ααΌα αααααΎαα’αΆα ααΎαααΎα ααΆααααααααΆαα’αΆα ααΏααΆααααΆαααααΆαααΆαααααααααααααΆαααααααααααΆααα·αα·αααα‘αΎααα·αααααααα·αααααααααααααα·αα αααΆααααΆαα αααααΆααΌαα ααα»ααααααα αΆα ααααΌαα ααααΆαααΎαα‘αΎαα ααααααααΊααΆαααααααααΆα Nexus IQ ααΆαα’ααααΆαα·αααααΆααα·ααα·αααΆααααα»α αα·αααΆαααααΉαααααΌαααααααααα»αα
ααΆααααΌα αααααΊαααααΆααααααα»α Sonatype ααΆααααααΈαααΆααα·αααααΆαααααΆααααΆαααΆαααααααα CVE ααΈαα½ααααΈ NVD αα αααα»αααΌαααααΆααα·ααααααααααααΆ ααααααα αΆαααΈααΆαααΆαααααααααααααΆααααααααΆααααΆαααααααΆαααΆαα»α α»αααααααααααααΆαα α¬αα»αααΆα ααααΎααΆαααααΆαααααΆααααααα (α§ααΆα ααα αα·αα·αααααΆαααΆαααααααααα ααΎαααααααααα·ααΈα αΆαα)α
α₯αααα·ααααααααΆααααΎααααααααααααΌαααΆαααααααααΆαααΆααααααααααΆαααααααααα·αααααΌαααΆααα½ααααα
αΌααα
αααα»α NVD ααα ααα»αααααααααΆαααΆαααΆααΆαααααααΆααα
αααα»αααΌαααααΆααα·αααααα Sonatype αααααΆααααααΆαααααΆαα SONATYPEα αααβααΎβααΆαβαααΆαααΆααα
ααΆαααααα Dependency Check αααααΎααααααααααΆαααΆα αααΎα αααααΆαααααΆαααΆαα»αααααΆαααααααααα½αα ααα½αα Dependency Track αααααΎααααααααααΆααα·α αα·αααααΎααααΆαααΆαα»αα½αα ααα½ααα ααααα·ααααααΆαααααααααααα αααα»αα ααα»α αααααΆααααα αααααα
αααααΆαααΆαααΆααααα ααΆαα’αα»αααααααα αΆαααΆαααααααΎαα αα αα½αααααααΆαααΆααα αΆαααααΌαααααααα αα DevSecOps α αΆαααα»αα ααΏαααααΌααααα’ααααα½ααα·ααα ααααα½ααααα αΌα SCA αα αααα»αααΆαα’αα·ααααααααΊααΆααααΎαααΆα αααααΊααΆααα·ααα½αααααΆααΆαα½ααααααααααααααα αα·αααΆααααααΆαααΆαααααααα’αααΈααααΎαααΆαααααα’αα½αααααΎααα ααΌα αα αααα»αααααΆαααααααα’αααα ααΆα’αΆα ααααααΆαααααΆααααααΆαααααααα’αααααααΌα ααΆααααα½ααα·αα·αααααΆαα’αΆααααα α¬ααΆαααΆαααΆαα’αΆαααααααΉαααααααααααααΎαααααΌαααΆαα’αΆααΈαααααααΆααα’αα α αΎααααααααααΆααα ααααΆαααΉαααΆαααΆαααααα‘αΌααΈαααααααΆαααααΆααααα»αααααΆαααΆααααα αααΎαα‘αΎααααααααα·ααΈααααααα»αααααΌαααΆααααααΎαα‘αΎαα
α§ααααααααα Aα αααααααααΆαααΆαα»
ααΆα:
- ααΆαααΆααααααααααααα·αααααα αα·αααααα·αααααΆαααα αααα»ααααΆαααΆαα»
- ααααα - ααΆαααΆααααααααααααααα·ααα·ααααααααααα αααα»ααααΆαααΆαα»
- TRUE - αααα αΆαα·αααααΆααα·αααααΆαα
- FALSE - αααα αΆαα·αααααΆααα·ααα·α
αααΆαααΆα
Nexus IQ
ααΆααααα½ααα·αα·αααααΆαα’αΆααααα
ααα’αΆααααα
αααααα
dom4j: 1.6.1
ααααα
ααααα
ααααα
αα·α
log4j-coreα α’.α£
ααααα
ααααα
ααααα
αα·α
log4j: 1.2.14
ααααα
ααααα
-
αα·α
ααΆααααααΌαααΌαα
α α£.α‘
ααααα
ααααα
ααααα
αα·α
commons-fileupload:1.3.2
ααααα
ααααα
ααααα
αα·α
ααααΆααααααααααααααΆα α‘.α§.α
ααααα
ααααα
ααααα
αα·α
ααΌαα·αααΌαα
α α‘:α‘α
ααααα
-
-
αα·α
mysql-connector-java:5.1.42
ααααα
ααααα
ααααα
αα·α
αααααααα·ααΆααααΌαα α£.α .α₯
ααααα
αααα·αααΎααααΆαααΆαα»
αα·α
ααα ααααααα·ααΆααααΌαα α£.α .α₯
ααααα
αααα·αααΎααααΆαααΆαα»
ααααα
αα·α
ααα·αααα·ααΆααααΌαα α£.α .α₯
ααααα
αααα·αααΎααααΆαααΆαα»
-
αα·α
ααααΌααα·ααΆααααΌαα α£.α .α₯
ααααα
ααααα
ααααα
αα·α
struts2-config-browser-pluginα 2.3.30
ααααα
-
-
αα·α
spring-tx: 3.0.5
-
ααααα
-
αα·ααα·α
ααααΌαααααΌαα α‘.α£.α¨
ααααα
ααααα
ααααα
αα·α
xwork-coreα 2.3.30
ααααα
-
-
αα·α
struts2-core: 2.3.30
ααααα
ααααα
ααααα
αα·α
struts-taglib: 1.3.8
-
ααααα
-
αα·ααα·α
struts-tiles-1.3.8
-
ααααα
-
αα·ααα·α
α§ααααααααα Bα ααααααααααΆαααΆαααααααα
ααΆα:
- ααΆαααΆααααααααααααα·αααααα αα·αααααα·αααααΆαααα αααα»ααααΆαααΆαα»
- ααααα - ααΆαααΆααααααααααααααα·ααα·ααααααααααα αααα»ααααΆαααΆαα»
- TRUE - αααα αΆαα·αααααΆααα·αααααΆαα
- FALSE - αααα αΆαα·αααααΆααα·ααα·α
αααΆαααΆα
Nexus IQ
ααΆααααα½ααα·αα·αααααΆαα’αΆααααα
ααα’αΆααααα
ααΆαααααααααα
αααααα
ααΆαα’ααααΆαα·ααααΆα
dom4j: 1.6.1
CVE-2018-1000632
CVE-2018-1000632
CVE-2018-1000632
ααααα
αα·α
CVE-2020-10683
CVE-2020-10683
CVE-2020-10683
ααααα
αα·α
log4j-coreα α’.α£
CVE-2017-5645
CVE-2017-5645
CVE-2017-5645
ααααα
αα·α
CVE-2020-9488
CVE-2020-9488
CVE-2020-9488
ααΆα
αα·α
log4j: 1.2.14
CVE-2019-17571
CVE-2019-17571
-
ααααα
αα·α
-
CVE-2020-9488
-
ααΆα
αα·α
SONATYPE-2010-0053
-
-
ααααα
αα·α
ααΆααααααΌαααΌαα
α α£.α‘
-
CVE-2015-6420
CVE-2015-6420
ααααα
αα·ααα·α
αααα½α RCE(OSSINDEX)
-
CVE-2017-15708
CVE-2017-15708
ααααα
αα·ααα·α
αααα½α RCE(OSSINDEX)
SONATYPE-2015-0002
RCE (OSSINDEX)
RCE(OSSINDEX)
ααααα
αα·α
commons-fileupload:1.3.2
CVE-2016-1000031
CVE-2016-1000031
CVE-2016-1000031
ααααα
αα·α
SONATYPE-2014-0173
-
-
ααααα
αα·α
ααααΆααααααααααααααΆα α‘.α§.α
CVE-2014-0114
CVE-2014-0114
CVE-2014-0114
ααααα
αα·α
-
CVE-2019-10086
CVE-2019-10086
ααααα
αα·ααα·α
ααΆαααΆαααααααααααα’αα»ααααα
αααααααα 1.9.2+ ααα»αααααα
ααΌαα·αααΌαα
α α‘:α‘α
SONATYPE-2012-0050
-
-
ααααα
αα·α
mysql-connector-java:5.1.42
CVE-2018-3258
CVE-2018-3258
CVE-2018-3258
ααααα
αα·α
CVE-2019-2692
CVE-2019-2692
-
ααααα
αα·α
-
CVE-2020-2875
-
ααααα
αα·ααα·α
ααΆαααΆααααααααααΌα
ααααΆαα
ααΉα CVE-2019-2692 ααα»ααααααΆαα½αααΉααααααααααΆ "ααΆαααΆααααα αΆαα’αΆα
αααααΆαααααΆαααααΆαααααααα·ααααααααα"
-
CVE-2017-15945
-
ααααα
αα·ααα·α
αα·αααΆαααααααααΉα mysql-connector-java
-
CVE-2020-2933
-
ααΆα
αα·ααα·α
αααα½ααα CVE-2020-2934
CVE-2020-2934
CVE-2020-2934
-
ααααα
αα·α
αααααααα·ααΆααααΌαα α£.α .α₯
CVE-2018-1270
αααα·αααΎααααΆαααΆαα»
-
ααααα
αα·α
CVE-2018-1257
-
-
ααααα
αα·α
ααα ααααααα·ααΆααααΌαα α£.α .α₯
CVE-2016-1000027
αααα·αααΎααααΆαααΆαα»
-
ααααα
αα·α
CVE-2014-0225
-
CVE-2014-0225
ααααα
αα·α
CVE-2011-2730
-
-
ααααα
αα·α
-
-
CVE-2013-4152
ααααα
αα·α
CVE-2018-1272
-
-
ααααα
αα·α
CVE-2020-5398
-
-
ααααα
αα·α
α§ααΆα αααααΆααααααααααααΆααααΆααααα
α·ααααα IQα "αααα»αααααΆαααααΆααα»ααααα·ααΆα Sonatype ααΆαααααΎαααΆααΆαααΆαααααααααααααααΌαααΆαααααΆααα
αααα»ααααα 3.0.2.RELEASE αα·αααα 5.0.x ααΌα
ααΆαα
αααααα»αααΆαααααΆααααααα"
CVE-2013-6429
-
-
ααααα
αα·α
CVE-2014-0054
-
CVE-2014-0054
ααααα
αα·α
CVE-2013-6430
-
-
ααααα
αα·α
ααα·αααα·ααΆααααΌαα α£.α .α₯
CVE-2011-2894
αααα·αααΎααααΆαααΆαα»
-
ααααα
αα·α
ααααΌααα·ααΆααααΌαα α£.α .α₯
-
CVE-2011-2730
CVE-2011-2730
ααααα
αα·α
CVE-2011-2894
CVE-2011-2894
CVE-2011-2894
ααααα
αα·α
-
-
CVE-2013-4152
ααααα
αα·ααα·α
αααα½αααααΆαααΆααααααααααΌα
ααααΆαα
αααα»α spring-web
-
CVE-2013-4152
-
ααααα
αα·ααα·α
ααΆαααΆααααααααααΆααααααΉααααΆαααΆαα» spring-web
-
CVE-2013-6429
CVE-2013-6429
ααααα
αα·ααα·α
ααΆαααΆααααααααααΆααααααΉααααΆαααΆαα» spring-web
-
CVE-2013-6430
-
ααααα
αα·ααα·α
ααΆαααΆααααααααααΆααααααΉααααΆαααΆαα» spring-web
-
CVE-2013-7315
CVE-2013-7315
ααααα
αα·ααα·α
αααααααΈ CVE-2013-4152 α + ααΆαααΆααααααααααΆααααααΉααααΆαααΆαα» spring-web
-
CVE-2014-0054
CVE-2014-0054
ααααα
αα·ααα·α
ααΆαααΆααααααααααΆααααααΉααααΆαααΆαα» spring-web
-
CVE-2014-0225
-
ααααα
αα·ααα·α
ααΆαααΆααααααααααΆααααααΉααααΆαααΆαα» spring-web
-
-
CVE-2014-0225
ααααα
αα·ααα·α
αααα½αααααΆαααΆααααααααααΌα
ααααΆαα
αααα»α spring-web
-
CVE-2014-1904
CVE-2014-1904
ααααα
αα·ααα·α
ααΆαααΆααααααααααΆααααααΉααααΆαααΆαα» spring-web-mvc
-
CVE-2014-3625
CVE-2014-3625
ααααα
αα·ααα·α
ααΆαααΆααααααααααΆααααααΉααααΆαααΆαα» spring-web-mvc
-
CVE-2016-9878
CVE-2016-9878
ααααα
αα·ααα·α
ααΆαααΆααααααααααΆααααααΉααααΆαααΆαα» spring-web-mvc
-
CVE-2018-1270
CVE-2018-1270
ααααα
αα·ααα·α
αααααΆααααΆααααα
ααααα·αα·ααΆααααΌα / αα·ααΆααααΌα - ααΆα
-
CVE-2018-1271
CVE-2018-1271
ααααα
αα·ααα·α
ααΆαααΆααααααααααΆααααααΉααααΆαααΆαα» spring-web-mvc
-
CVE-2018-1272
CVE-2018-1272
ααααα
αα·α
CVE-2014-3578
CVE-2014-3578 (OSSINDEX)
CVE-2014-3578
ααααα
αα·α
SONATYPE-2015-0327
-
-
ααΆα
αα·α
struts2-config-browser-pluginα 2.3.30
SONATYPE-2016-0104
-
-
ααααα
αα·α
spring-tx: 3.0.5
-
CVE-2011-2730
-
ααααα
αα·ααα·α
ααΆαααΆαααααααααα·αααΆααααΆααα
αααα spring-tx ααα
-
CVE-2011-2894
-
ααααα
αα·ααα·α
ααΆαααΆαααααααααα·αααΆααααΆααα
αααα spring-tx ααα
-
CVE-2013-4152
-
ααααα
αα·ααα·α
ααΆαααΆαααααααααα·αααΆααααΆααα
αααα spring-tx ααα
-
CVE-2013-6429
-
ααααα
αα·ααα·α
ααΆαααΆαααααααααα·αααΆααααΆααα
αααα spring-tx ααα
-
CVE-2013-6430
-
ααααα
αα·ααα·α
ααΆαααΆαααααααααα·αααΆααααΆααα
αααα spring-tx ααα
-
CVE-2013-7315
-
ααααα
αα·ααα·α
ααΆαααΆαααααααααα·αααΆααααΆααα
αααα spring-tx ααα
-
CVE-2014-0054
-
ααααα
αα·ααα·α
ααΆαααΆαααααααααα·αααΆααααΆααα
αααα spring-tx ααα
-
CVE-2014-0225
-
ααααα
αα·ααα·α
ααΆαααΆαααααααααα·αααΆααααΆααα
αααα spring-tx ααα
-
CVE-2014-1904
-
ααααα
αα·ααα·α
ααΆαααΆαααααααααα·αααΆααααΆααα
αααα spring-tx ααα
-
CVE-2014-3625
-
ααααα
αα·ααα·α
ααΆαααΆαααααααααα·αααΆααααΆααα
αααα spring-tx ααα
-
CVE-2016-9878
-
ααααα
αα·ααα·α
ααΆαααΆαααααααααα·αααΆααααΆααα
αααα spring-tx ααα
-
CVE-2018-1270
-
ααααα
αα·ααα·α
ααΆαααΆαααααααααα·αααΆααααΆααα
αααα spring-tx ααα
-
CVE-2018-1271
-
ααααα
αα·ααα·α
ααΆαααΆαααααααααα·αααΆααααΆααα
αααα spring-tx ααα
-
CVE-2018-1272
-
ααααα
αα·ααα·α
ααΆαααΆαααααααααα·αααΆααααΆααα
αααα spring-tx ααα
ααααΌαααααΌαα α‘.α£.α¨
-
CVE-2011-5057 (OSSINDEX)
ααααα
αα αα
ααΆαααΆααααααααα
αααα Struts 2
-
CVE-2012-0391 (OSSINDEX)
CVE-2012-0391
ααααα
αα·ααα·α
ααΆαααΆααααααααα
αααα Struts 2
-
CVE-2014-0094 (OSSINDEX)
CVE-2014-0094
ααααα
αα·ααα·α
ααΆαααΆααααααααα
αααα Struts 2
-
CVE-2014-0113 (OSSINDEX)
CVE-2014-0113
ααααα
αα·ααα·α
ααΆαααΆααααααααα
αααα Struts 2
CVE-2016-1182
3VE-2016-1182
-
ααααα
αα·α
-
-
CVE-2011-5057
ααααα
αα·ααα·α
ααΆαααΆααααααααα
αααα Struts 2
-
CVE-2012-0392 (OSSINDEX)
CVE-2012-0392
ααααα
αα·ααα·α
ααΆαααΆααααααααα
αααα Struts 2
-
CVE-2012-0393 (OSSINDEX)
CVE-2012-0393
ααααα
αα·ααα·α
ααΆαααΆααααααααα
αααα Struts 2
CVE-2015-0899
CVE-2015-0899
-
ααααα
αα·α
-
CVE-2012-0394
CVE-2012-0394
ααααα
αα·ααα·α
ααΆαααΆααααααααα
αααα Struts 2
-
CVE-2012-0838 (OSSINDEX)
CVE-2012-0838
ααααα
αα·ααα·α
ααΆαααΆααααααααα
αααα Struts 2
-
CVE-2013-1965 (OSSINDEX)
CVE-2013-1965
ααααα
αα·ααα·α
ααΆαααΆααααααααα
αααα Struts 2
-
CVE-2013-1966 (OSSINDEX)
CVE-2013-1966
ααααα
αα αα
ααΆαααΆααααααααα
αααα Struts 2
-
CVE-2013-2115
CVE-2013-2115
ααααα
αα αα
ααΆαααΆααααααααα
αααα Struts 2
-
CVE-2013-2134 (OSSINDEX)
CVE-2013-2134
ααααα
αα αα
ααΆαααΆααααααααα
αααα Struts 2
-
CVE-2013-2135 (OSSINDEX)
CVE-2013-2135
ααααα
αα αα
ααΆαααΆααααααααα
αααα Struts 2
CVE-2014-0114
CVE-2014-0114
-
ααααα
αα·α
-
CVE-2015-2992
CVE-2015-2992
ααααα
αα·ααα·α
ααΆαααΆααααααααα
αααα Struts 2
-
CVE-2016-0785 (OSSINDEX)
CVE-2016-0785
ααααα
αα·ααα·α
ααΆαααΆααααααααα
αααα Struts 2
CVE-2016-1181
CVE-2016-1181
-
ααααα
αα·α
-
CVE-2016-4003 (OSSINDEX)
CVE-2016-4003
ααααα
αα·ααα·α
ααΆαααΆααααααααα
αααα Struts 2
xwork-coreα 2.3.30
CVE-2017-9804
-
-
ααααα
αα·α
SONATYPE-2017-0173
-
-
ααααα
αα·α
CVE-2017-7672
-
-
ααααα
αα·ααα·α
αααα½ααα CVE-2017-9804
SONATYPE-2016-0127
-
-
ααααα
αα·α
struts2-core: 2.3.30
-
CVE-2016-6795
CVE-2016-6795
ααααα
αα·α
-
CVE-2017-9787
CVE-2017-9787
ααααα
αα·α
-
CVE-2017-9791
CVE-2017-9791
ααααα
αα·α
-
CVE-2017-9793
-
ααααα
αα·ααα·α
αααα½ααα CVE-2018-1327
-
CVE-2017-9804
-
ααααα
αα·α
-
CVE-2017-9805
CVE-2017-9805
ααααα
αα·α
CVE-2016-4003
-
-
ααααα
αα·ααα·α
α’αΆα
α’αα»ααααααΆαα
αααα Apache Struts 2.x αα αΌαααα 2.3.28 αααααΆαααα 2.3.30α ααααααΆαααΆααααα αααααα’ααααΎααΆααα·αααααΆ CVE ααΆααα»ααααΆααααααΆααααααααΆαα½ααα Struts 2 ααααα·αααΎ JRE 1.7 α¬αα·α
ααΆααααααααΌαααΆαααααΎα ααΆααααααα αα½αααααΆααααααα
α
α·αααααΆααΆααΎαα‘αΎααα·ααα
ααΈααα ααα»ααααααΆααΎααα
ααΌα
ααΆ FALSE α
αααΎαααΆα
-
CVE-2018-1327
CVE-2018-1327
ααααα
αα·α
CVE-2017-5638
CVE-2017-5638
CVE-2017-5638
ααααα
αα·α
ααΆαααΆααααααααααΌα
ααααΆααααα½α Hacker Equifax ααααααααααα
αααα»αααααΆα 2017
CVE-2017-12611
CVE-2017-12611
-
ααααα
αα·α
CVE-2018-11776
CVE-2018-11776
CVE-2018-11776
ααααα
αα·α
struts-taglib: 1.3.8
-
CVE-2012-0394
-
ααααα
αα·ααα·α
αααααΆαα struts2-core
-
CVE-2013-2115
-
ααααα
αα·ααα·α
αααααΆαα struts2-core
-
CVE-2014-0114
-
ααααα
αα·ααα·α
αααααΆααααΌαα
- αααααα
-
CVE-2015-0899
-
ααααα
αα·ααα·α
αα·αα’αα»ααααα
αααα taglib ααα
-
CVE-2015-2992
-
ααααα
αα·ααα·α
αααα
ααΎ struts2-core
-
CVE-2016-1181
-
ααααα
αα·ααα·α
αα·αα’αα»ααααα
αααα taglib ααα
-
CVE-2016-1182
-
ααααα
αα·ααα·α
αα·αα’αα»ααααα
αααα taglib ααα
struts-tiles-1.3.8
-
CVE-2012-0394
-
ααααα
αα·ααα·α
αααααΆαα struts2-core
-
CVE-2013-2115
-
ααααα
αα·ααα·α
αααααΆαα struts2-core
-
CVE-2014-0114
-
ααααα
αα·ααα·α
αα
ααααααα»αααααΆαα·ααΌαα
-
CVE-2015-0899
-
ααααα
αα·ααα·α
αα·αα’αα»ααααα
ααααααααΏαααα
-
CVE-2015-2992
-
ααααα
αα·ααα·α
αααααΆαα struts2-core
-
CVE-2016-1181
-
ααααα
αα·ααα·α
αα·αα’αα»ααααα
αααα taglib ααα
-
CVE-2016-1182
-
ααααα
αα·ααα·α
αα·αα’αα»ααααα
αααα taglib ααα
ααααα: www.habr.com