เจชเฉเจฐเฉ‹เจนเฉ‹เจธเจŸเจฐ > ะ‘ะปะพะณ > เจชเฉเจฐเจธเจผเจพเจธเจจ > DevSecOps: เจธเฉฐเจšเจพเจฒเจจ เจฆเฉ‡ เจธเจฟเจงเจพเจ‚เจค เจ…เจคเฉ‡ SCA เจฆเฉ€ เจคเฉเจฒเจจเจพเฅค เจญเจพเจ— เจ‡เฉฑเจ•

DevSecOps: เจธเฉฐเจšเจพเจฒเจจ เจฆเฉ‡ เจธเจฟเจงเจพเจ‚เจค เจ…เจคเฉ‡ SCA เจฆเฉ€ เจคเฉเจฒเจจเจพเฅค เจญเจพเจ— เจ‡เฉฑเจ•

เจตเจฟเจ•เจพเจธ เจชเฉเจฐเจ•เจฟเจฐเจฟเจ† เจตเจฟเฉฑเจš เจคเฉ€เจœเฉ€-เจงเจฟเจฐ เจฆเฉ‡ เจธเฉŒเจซเจŸเจตเฉ‡เจ…เจฐ เจญเจพเจ—เจพเจ‚ (เจธเจพเจซเจŸเจตเฉ‡เจ…เจฐ เจ•เฉฐเจชเฉ‹เจœเฉ€เจธเจผเจจ เจตเจฟเจธเจผเจฒเฉ‡เจธเจผเจฃ - SCA) เจฆเฉ‡ เจตเจฟเจธเจผเจฒเฉ‡เจธเจผเจฃ เจฆเฉ€ เจฎเจนเฉฑเจคเจคเจพ เจ“เจชเจจ เจธเฉ‹เจฐเจธ เจฒเจพเจ‡เจฌเฉเจฐเฉ‡เจฐเฉ€เจ†เจ‚ เจฆเฉ€เจ†เจ‚ เจ•เจฎเจœเจผเฉ‹เจฐเฉ€เจ†เจ‚ 'เจคเฉ‡ เจธเจพเจฒเจพเจจเจพ เจฐเจฟเจชเฉ‹เจฐเจŸเจพเจ‚ เจฆเฉ‡ เจœเจพเจฐเฉ€ เจนเฉ‹เจฃ เจจเจพเจฒ เจตเจง เจฐเจนเฉ€ เจนเฉˆ, เจœเฉ‹ เจ•เจฟ Synopsys, Sonatype, Snyk, เจ…เจคเฉ‡ White Source เจฆเฉเจ†เจฐเจพ เจชเฉเจฐเจ•เจพเจธเจผเจฟเจค เจ•เฉ€เจคเฉ€เจ†เจ‚ เจ—เจˆเจ†เจ‚ เจนเจจเฅค . เจฐเจฟเจชเฉ‹เจฐเจŸ เจฆเฉ‡ เจ…เจจเฉเจธเจพเจฐ เจ“เจชเจจ เจธเฉ‹เจฐเจธ เจธเฉเจฐเฉฑเจ–เจฟเจ† เจ•เจฎเจœเจผเฉ‹เจฐเฉ€ 2020 เจฆเฉ€ เจธเจฅเจฟเจคเฉ€ 2019 เจตเจฟเฉฑเจš เจชเจ›เจพเจฃเฉ€เจ†เจ‚ เจ—เจˆเจ†เจ‚ เจ“เจชเจจ เจธเฉ‹เจฐเจธ เจ•เจฎเจœเจผเฉ‹เจฐเฉ€เจ†เจ‚ เจฆเฉ€ เจ—เจฟเจฃเจคเฉ€ เจชเจฟเจ›เจฒเฉ‡ เจธเจพเจฒ เจฆเฉ‡ เจฎเฉเจ•เจพเจฌเจฒเฉ‡ เจฒเจ—เจญเจ— 1.5 เจ—เฉเจฃเจพ เจตเจงเฉ€ เจนเฉˆ, เจœเจฆเฉ‹เจ‚ เจ•เจฟ เจ“เจชเจจ เจธเฉ‹เจฐเจธ เจ•เฉฐเจชเฉ‹เจจเฉˆเจ‚เจŸเจธ 60% เจคเฉ‹เจ‚ 80% เจชเฉเจฐเฉ‹เจœเฉˆเจ•เจŸเจพเจ‚ เจฆเฉเจ†เจฐเจพ เจตเจฐเจคเฉ‡ เจœเจพเจ‚เจฆเฉ‡ เจนเจจเฅค เจ‡เฉฑเจ• เจธเฉเจคเฉฐเจคเจฐ เจ†เจงเจพเจฐ 'เจคเฉ‡, SCA เจชเฉเจฐเจ•เจฟเจฐเจฟเจ†เจตเจพเจ‚ เจชเจฐเจฟเจชเฉฑเจ•เจคเจพ เจฆเฉ‡ เจธเฉ‚เจšเจ• เจตเจœเฉ‹เจ‚ OWASP SAMM เจ…เจคเฉ‡ BSIMM เจฆเจพ เจ‡เฉฑเจ• เจตเฉฑเจ–เจฐเจพ เจ…เจญเจฟเจ†เจธ เจนเฉˆ, เจ…เจคเฉ‡ 2020 เจฆเฉ‡ เจชเจนเจฟเจฒเฉ‡ เจ…เฉฑเจง เจตเจฟเฉฑเจš, OWASP เจจเฉ‡ เจจเจตเจพเจ‚ OWASP เจธเจพเจซเจŸเจตเฉ‡เจ…เจฐ เจ•เฉฐเจชเฉ‹เจจเฉˆเจ‚เจŸ เจตเฉˆเจฐเฉ€เจซเจฟเจ•เฉ‡เจธเจผเจจ เจธเจŸเฉˆเจ‚เจกเจฐเจก (SCVS) เจœเจพเจฐเฉ€ เจ•เฉ€เจคเจพ, เจœเฉ‹ เจคเฉ€เจœเฉ‡ เจฆเฉ€ เจชเฉเจธเจผเจŸเฉ€ เจ•เจฐเจจ เจฒเจˆ เจธเจญ เจคเฉ‹เจ‚ เจตเจงเฉ€เจ† เจ…เจญเจฟเจ†เจธ เจชเฉเจฐเจฆเจพเจจ เจ•เจฐเจฆเจพ เจนเฉˆ- เจธเจชเจฒเจพเจˆ เจšเฉ‡เจจ BY เจตเจฟเฉฑเจš เจชเจพเจฐเจŸเฉ€ เจฆเฉ‡ เจนเจฟเฉฑเจธเฉ‡เฅค

DevSecOps: เจธเฉฐเจšเจพเจฒเจจ เจฆเฉ‡ เจธเจฟเจงเจพเจ‚เจค เจ…เจคเฉ‡ SCA เจฆเฉ€ เจคเฉเจฒเจจเจพเฅค เจญเจพเจ— เจ‡เฉฑเจ•

เจธเจญ เจคเฉ‹เจ‚ เจตเฉฑเจง เจฆเฉเจฐเจฟเจธเจผเจŸเจพเจ‚เจค เจตเจพเจฒเฉ‡ เจ•เฉ‡เจธเจพเจ‚ เจตเจฟเฉฑเจšเฉ‹เจ‚ เจ‡เฉฑเจ• เจนเฉ‹เจ‡เจ† เจฎเจˆ 2017 เจตเจฟเฉฑเจš Equifax เจฆเฉ‡ เจจเจพเจฒเฅค เจ…เจฃเจชเจ›เจพเจคเฉ‡ เจนเจฎเจฒเจพเจตเจฐเจพเจ‚ เจจเฉ‡ 143 เจฎเจฟเจฒเฉ€เจ…เจจ เจ…เจฎเจฐเฉ€เจ•เฉ€เจ†เจ‚ เจฌเจพเจฐเฉ‡ เจœเจพเจฃเจ•เจพเจฐเฉ€ เจชเฉเจฐเจพเจชเจค เจ•เฉ€เจคเฉ€, เจœเจฟเจธ เจตเจฟเฉฑเจš เจชเฉ‚เจฐเฉ‡ เจจเจพเจฎ, เจชเจคเฉ‡, เจธเจฎเจพเจœเจฟเจ• เจธเฉเจฐเฉฑเจ–เจฟเจ† เจจเฉฐเจฌเจฐ เจ…เจคเฉ‡ เจกเจฐเจพเจˆเจตเจฐ เจฒเจพเจ‡เจธเฉฐเจธ เจธเจผเจพเจฎเจฒ เจนเจจเฅค 209 เจฎเจพเจฎเจฒเจฟเจ†เจ‚ เจตเจฟเฉฑเจš, เจฆเจธเจคเจพเจตเฉ‡เจœเจผเจพเจ‚ เจตเจฟเฉฑเจš เจชเฉ€เฉœเจคเจพเจ‚ เจฆเฉ‡ เจฌเฉˆเจ‚เจ• เจ•เจพเจฐเจกเจพเจ‚ เจฌเจพเจฐเฉ‡ เจตเฉ€ เจœเจพเจฃเจ•เจพเจฐเฉ€ เจธเจผเจพเจฎเจฒ เจธเฉ€เฅค เจ‡เจน เจฒเฉ€เจ• Apache Struts 000 (CVE-2-2017) เจตเจฟเฉฑเจš เจ‡เฉฑเจ• เจจเจพเจœเจผเฉเจ• เจ•เจฎเจœเจผเฉ‹เจฐเฉ€ เจฆเฉ‡ เจธเจผเฉ‹เจธเจผเจฃ เจฆเฉ‡ เจจเจคเฉ€เจœเฉ‡ เจตเจœเฉ‹เจ‚ เจนเฉ‹เจ‡เจ† เจนเฉˆ, เจœเจฆเฉ‹เจ‚ เจ•เจฟ เจซเจฟเจ•เจธ เจฎเจพเจฐเจš 5638 เจตเจฟเฉฑเจš เจตเจพเจชเจธ เจœเจพเจฐเฉ€ เจ•เฉ€เจคเจพ เจ—เจฟเจ† เจธเฉ€เฅค เจ•เฉฐเจชเจจเฉ€ เจฆเฉ‡ เจ•เฉ‹เจฒ เจ…เจชเจกเฉ‡เจŸ เจจเฉ‚เฉฐ เจ‡เฉฐเจธเจŸเจพเจฒ เจ•เจฐเจจ เจฒเจˆ เจฆเฉ‹ เจฎเจนเฉ€เจจเฉ‡ เจธเจจ, เจชเจฐ เจ•เจฟเจธเฉ‡ เจจเฉ‡ เจ‡เจธ เจฆเฉ€ เจชเจฐเจตเจพเจน เจจเจนเฉ€เจ‚ เจ•เฉ€เจคเฉ€เฅค

เจ‡เจน เจฒเฉ‡เจ– เจตเจฟเจธเจผเจฒเฉ‡เจธเจผเจฃ เจจเจคเฉ€เจœเจฟเจ†เจ‚ เจฆเฉ€ เจ—เฉเจฃเจตเฉฑเจคเจพ เจฆเฉ‡ เจฆเฉเจฐเจฟเจธเจผเจŸเฉ€เจ•เฉ‹เจฃ เจคเฉ‹เจ‚ SCA เจธเฉฐเจšเจพเจฒเจจ เจฒเจˆ เจ‡เฉฑเจ• เจธเจพเจงเจจ เจšเฉเจฃเจจ เจฆเฉ‡ เจฎเฉเฉฑเจฆเฉ‡ 'เจคเฉ‡ เจšเจฐเจšเจพ เจ•เจฐเฉ‡เจ—เจพ. เจŸเฉ‚เจฒเจธ เจฆเฉ€ เจ‡เฉฑเจ• เจ•เจพเจฐเจœเจพเจคเจฎเจ• เจคเฉเจฒเจจเจพ เจตเฉ€ เจชเฉเจฐเจฆเจพเจจ เจ•เฉ€เจคเฉ€ เจœเจพเจตเฉ‡เจ—เฉ€เฅค CI/CD เจตเจฟเฉฑเจš เจเจ•เฉ€เจ•เฉเจฐเจฟเจค เจ•เจฐเจจ เจฆเฉ€ เจชเฉเจฐเจ•เจฟเจฐเจฟเจ† เจ…เจคเฉ‡ เจเจ•เฉ€เจ•เจฐเจฃ เจธเจฎเจฐเฉฑเจฅเจพเจตเจพเจ‚ เจจเฉ‚เฉฐ เจ…เจ—เจฒเฉ‡ เจชเฉเจฐเจ•เจพเจธเจผเจจเจพเจ‚ เจฒเจˆ เจ›เฉฑเจก เจฆเจฟเฉฑเจคเจพ เจœเจพเจตเฉ‡เจ—เจพเฅค OWASP เจฆเฉเจ†เจฐเจพ เจ”เจœเจผเจพเจฐเจพเจ‚ เจฆเฉ€ เจ‡เฉฑเจ• เจตเจฟเจธเจผเจพเจฒ เจธเจผเฉเจฐเฉ‡เจฃเฉ€ เจชเฉ‡เจธเจผ เจ•เฉ€เจคเฉ€ เจ—เจˆ เจธเฉ€ เจคเฉเจนเจพเจกเฉ€ เจตเฉˆเจฌเจธเจพเจˆเจŸ 'เจคเฉ‡, เจชเจฐ เจฎเฉŒเจœเฉ‚เจฆเจพ เจธเจฎเฉ€เจ–เจฟเจ† เจตเจฟเฉฑเจš เจ…เจธเฉ€เจ‚ เจธเจฟเจฐเจซ เจธเจญ เจคเฉ‹เจ‚ เจชเฉเจฐเจธเจฟเฉฑเจง เจ“เจชเจจ เจธเฉ‹เจฐเจธ เจŸเฉ‚เจฒ เจกเจฟเจชเฉˆเจ‚เจกเฉˆเจ‚เจธเฉ€ เจšเฉˆเจ•, เจฅเฉ‹เฉœเฉเจนเจพ เจ˜เฉฑเจŸ เจœเจพเจฃเจฟเจ†-เจชเจ›เจพเจฃเจฟเจ† เจ“เจชเจจ เจธเฉ‹เจฐเจธ เจชเจฒเฉ‡เจŸเจซเจพเจฐเจฎ เจกเจฟเจชเฉˆเจ‚เจกเฉˆเจ‚เจธเฉ€ เจŸเฉเจฐเฉˆเจ• เจ…เจคเฉ‡ เจเจ‚เจŸเจฐเจชเฉเจฐเจพเจˆเจœเจผ เจธเฉ‹เจฒเจฟเจŠเจธเจผเจจ เจธเฉ‹เจจเจพเจŸเจพเจˆเจช เจจเฉˆเจ•เจธเจธ เจ†เจˆเจ•เจฟเจŠ เจจเฉ‚เฉฐ เจ›เฉ‚เจนเจพเจ‚เจ—เฉ‡เฅค เจ…เจธเฉ€เจ‚ เจ‡เจน เจตเฉ€ เจธเจฎเจเจพเจ‚เจ—เฉ‡ เจ•เจฟ เจ‡เจน เจนเฉฑเจฒ เจ•เจฟเจตเฉ‡เจ‚ เจ•เฉฐเจฎ เจ•เจฐเจฆเฉ‡ เจนเจจ เจ…เจคเฉ‡ เจเฉ‚เจ เฉ‡ เจธเจ•เจพเจฐเจพเจคเจฎเจ• เจฒเจˆ เจชเฉเจฐเจพเจชเจค เจจเจคเฉ€เจœเจฟเจ†เจ‚ เจฆเฉ€ เจคเฉเจฒเจจเจพ เจ•เจฐเจฆเฉ‡ เจนเจจเฅค

DevSecOps: เจธเฉฐเจšเจพเจฒเจจ เจฆเฉ‡ เจธเจฟเจงเจพเจ‚เจค เจ…เจคเฉ‡ SCA เจฆเฉ€ เจคเฉเจฒเจจเจพเฅค เจญเจพเจ— เจ‡เฉฑเจ•

เจ‡เจธ เจฆเจพ เจ•เฉฐเจฎ เจ•เจฐเจฆเจพ เจนเฉˆ

เจจเจฟเจฐเจญเจฐเจคเจพ เจœเจพเจ‚เจš เจ‡เฉฑเจ• เจ‰เจชเจฏเฉ‹เจ—เจคเจพ (CLI, maven, jenkins module, ant) โ€‹โ€‹เจนเฉˆ เจœเฉ‹ เจชเฉเจฐเฉ‹เจœเฉˆเจ•เจŸ เจซเจพเจˆเจฒเจพเจ‚ เจฆเจพ เจตเจฟเจธเจผเจฒเฉ‡เจธเจผเจฃ เจ•เจฐเจฆเฉ€ เจนเฉˆ, เจจเจฟเจฐเจญเจฐเจคเจพ (เจชเฉˆเจ•เฉ‡เจœ เจฆเจพ เจจเจพเจฎ, เจ—เจฐเฉเฉฑเจชเจฟเจก, เจจเจฟเจฐเจงเจพเจฐเจจ เจธเจฟเจฐเจฒเฉ‡เจ–, เจธเฉฐเจธเจ•เจฐเจฃ...) เจฌเจพเจฐเฉ‡ เจœเจพเจฃเจ•เจพเจฐเฉ€ เจฆเฉ‡ เจŸเฉเจ•เฉœเจฟเจ†เจ‚ เจจเฉ‚เฉฐ เจ‡เจ•เฉฑเจ เจพ เจ•เจฐเจฆเฉ€ เจนเฉˆ, เจ‡เฉฑเจ• CPE (เจ•เจพเจฎเจจ เจชเจฒเฉ‡เจŸเจซเจพเจฐเจฎ เจ—เจฃเจจเจพ) เจฒเจพเจˆเจจ เจฌเจฃเจพเจ‰เจ‚เจฆเฉ€ เจนเฉˆเฅค , เจชเฉˆเจ•เฉ‡เจœ URL (PURL) เจ…เจคเฉ‡ เจกเฉ‡เจŸเจพเจฌเฉ‡เจธ (NVD, Sonatype OSS เจ‡เฉฐเจกเฉˆเจ•เจธ, NPM เจ†เจกเจฟเจŸ API...) เจคเฉ‹เจ‚ CPE/PURL เจฒเจˆ เจ•เจฎเจœเจผเฉ‹เจฐเฉ€เจ†เจ‚ เจฆเฉ€ เจชเจ›เจพเจฃ เจ•เจฐเจฆเจพ เจนเฉˆ, เจœเจฟเจธ เจคเฉ‹เจ‚ เจฌเจพเจ…เจฆ เจ‡เจน HTML, JSON, XML เจซเจพเจฐเจฎเฉˆเจŸ เจตเจฟเฉฑเจš เจ‡เฉฑเจ•-เจตเจพเจฐ เจฐเจฟเจชเฉ‹เจฐเจŸ เจฌเจฃเจพเจ‰เจ‚เจฆเจพ เจนเฉˆ...

เจ†เจ“ เจฆเฉ‡เจ–เฉ€เจ เจ•เจฟ CPE เจ•เจฟเจนเฉ‹ เจœเจฟเจนเจพ เจฆเจฟเจ–เจพเจˆ เจฆเจฟเฉฐเจฆเจพ เจนเฉˆ:

cpe:2.3:part:vendor:product:version:update:edition:language:sw_edition:target_sw:target_hw:other

  • เจญเจพเจ—: เจธเฉฐเจ•เฉ‡เจค เจ•เจฟ เจ•เฉฐเจชเฉ‹เจจเฉˆเจ‚เจŸ เจเจชเจฒเฉ€เจ•เฉ‡เจธเจผเจจ (เจ), เจ“เจชเจฐเฉ‡เจŸเจฟเฉฐเจ— เจธเจฟเจธเจŸเจฎ (เจ“), เจนเจพเจฐเจกเจตเฉ‡เจ…เจฐ (เจเจš) (เจฒเฉ‹เฉœเฉ€เจ‚เจฆเจพ) เจจเจพเจฒ เจธเจฌเฉฐเจงเจค เจนเฉˆ
  • เจตเจฟเจ•เจฐเฉ‡เจคเจพ: เจ‰เจคเจชเจพเจฆ เจจเจฟเจฐเจฎเจพเจคเจพ เจฆเจพ เจจเจพเจฎ (เจฒเฉ‹เฉœเฉ€เจ‚เจฆเจพ)
  • เจ‰เจคเจชเจพเจฆ: เจ‰เจคเจชเจพเจฆ เจฆเจพ เจจเจพเจฎ (เจฒเฉ‹เฉœเฉ€เจ‚เจฆเจพ)
  • เจตเจฐเจœเจจ: เจ•เฉฐเจชเฉ‹เจจเฉˆเจ‚เจŸ เจธเฉฐเจธเจ•เจฐเจฃ (เจ…เจชเฉเจฐเจšเจฒเจฟเจค เจ†เจˆเจŸเจฎ)
  • เจ…เฉฑเจชเจกเฉ‡เจŸ: เจชเฉˆเจ•เฉ‡เจœ เจ…เฉฑเจชเจกเฉ‡เจŸ
  • เจเจกเฉ€เจธเจผเจจ: เจชเฉเจฐเจพเจคเจจ เจธเฉฐเจธเจ•เจฐเจฃ (เจจเจพเจชเจธเฉฐเจฆ เจ†เจˆเจŸเจฎ)
  • เจญเจพเจธเจผเจพ: RFC-5646 เจตเจฟเฉฑเจš เจชเจฐเจฟเจญเจพเจธเจผเจฟเจค เจญเจพเจธเจผเจพ
  • SW เจเจกเฉ€เจธเจผเจจ: เจธเจพเจซเจŸเจตเฉ‡เจ…เจฐ เจตเจฐเจœเจจ
  • เจŸเฉ€เจšเจพ SW: เจธเจพเจซเจŸเจตเฉ‡เจ…เจฐ เจตเจพเจคเจพเจตเจฐเจจ เจœเจฟเจธ เจตเจฟเฉฑเจš เจ‰เจคเจชเจพเจฆ เจ•เฉฐเจฎ เจ•เจฐเจฆเจพ เจนเฉˆ
  • เจŸเฉ€เจšเจพ HW: เจนเจพเจฐเจกเจตเฉ‡เจ…เจฐ เจตเจพเจคเจพเจตเจฐเจจ เจœเจฟเจธ เจตเจฟเฉฑเจš เจ‰เจคเจชเจพเจฆ เจ•เฉฐเจฎ เจ•เจฐเจฆเจพ เจนเฉˆ
  • เจนเฉ‹เจฐ: เจธเจชเจฒเจพเจ‡เจฐ เจœเจพเจ‚ เจ‰เจคเจชเจพเจฆ เจœเจพเจฃเจ•เจพเจฐเฉ€

เจ‡เฉฑเจ• เจ‰เจฆเจพเจนเจฐเจจ CPE เจ‡เจธ เจคเจฐเฉเจนเจพเจ‚ เจฆเจฟเจ–เจฆเจพ เจนเฉˆ:

cpe:2.3:a:pivotal_software:spring_framework:3.0.0:*:*:*:*:*:*:*

เจฒเจพเจˆเจจ เจฆเจพ เจฎเจคเจฒเจฌ เจนเฉˆ เจ•เจฟ CPE เจธเฉฐเจธเจ•เจฐเจฃ 2.3 เจจเจฟเจฐเจฎเจพเจคเจพ เจคเฉ‹เจ‚ เจเจชเจฒเฉ€เจ•เฉ‡เจธเจผเจจ เจ•เฉฐเจชเฉ‹เจจเฉˆเจ‚เจŸ เจฆเจพ เจตเจฐเจฃเจจ เจ•เจฐเจฆเจพ เจนเฉˆ pivotal_software เจธเจฟเจฐเจฒเฉ‡เจ– เจฆเฉ‡ เจจเจพเจฒ spring_framework เจธเฉฐเจธเจ•เจฐเจฃ 3.0.0เฅค เจœเฉ‡ เจ…เจธเฉ€เจ‚ เจ‡เฉฑเจ• เจ•เจฎเจœเจผเฉ‹เจฐเฉ€ เจจเฉ‚เฉฐ เจ–เฉ‹เจฒเฉเจนเจฆเฉ‡ เจนเจพเจ‚ CVE-2014-0225 NVD เจตเจฟเฉฑเจš, เจ…เจธเฉ€เจ‚ เจ‡เจธ CPE เจฆเจพ เจœเจผเจฟเจ•เจฐ เจฆเฉ‡เจ– เจธเจ•เจฆเฉ‡ เจนเจพเจ‚เฅค เจชเจนเจฟเจฒเฉ€ เจธเจฎเฉฑเจธเจฟเจ† เจœเจฟเจธ 'เจคเฉ‡ เจคเฉเจนเจพเจจเฉ‚เฉฐ เจคเฉเจฐเฉฐเจค เจงเจฟเจ†เจจ เจฆเฉ‡เจฃเจพ เจšเจพเจนเฉ€เจฆเจพ เจนเฉˆ เจ‰เจน เจนเฉˆ เจ•เจฟ NVD เจตเจฟเฉฑเจš CVE, CPE เจฆเฉ‡ เจ…เจจเฉเจธเจพเจฐ, เจซเจฐเฉ‡เจฎเจตเจฐเจ• เจตเจฟเฉฑเจš เจ‡เฉฑเจ• เจธเจฎเฉฑเจธเจฟเจ† เจฆเฉ€ เจฐเจฟเจชเฉ‹เจฐเจŸ เจ•เจฐเจฆเจพ เจนเฉˆ, เจจเจพ เจ•เจฟ เจ•เจฟเจธเฉ‡ เจ–เจพเจธ เจนเจฟเฉฑเจธเฉ‡ เจตเจฟเฉฑเจšเฅค เจญเจพเจต, เจœเฉ‡เจ•เจฐ เจกเจฟเจตเฉˆเจฒเจชเจฐเจพเจ‚ เจจเฉ‚เฉฐ เจซเจฐเฉ‡เจฎเจตเจฐเจ• เจจเจพเจฒ เจฎเจœเจผเจฌเฉ‚เจคเฉ€ เจจเจพเจฒ เจฌเฉฐเจจเฉเจนเจฟเจ† เจนเฉ‹เจ‡เจ† เจนเฉˆ, เจ…เจคเฉ‡ เจชเจ›เจพเจฃเฉ€ เจ—เจˆ เจ•เจฎเจœเจผเฉ‹เจฐเฉ€ เจ‰เจนเจจเจพเจ‚ เจฎเจพเจกเจฟเจŠเจฒเจพเจ‚ เจจเฉ‚เฉฐ เจชเฉเจฐเจญเจพเจตเจค เจจเจนเฉ€เจ‚ เจ•เจฐเจฆเฉ€ เจนเฉˆ เจœเฉ‹ เจกเจฟเจตเฉˆเจฒเจชเจฐ เจตเจฐเจคเจฆเฉ‡ เจนเจจ, เจคเจพเจ‚ เจ‡เฉฑเจ• เจธเฉเจฐเฉฑเจ–เจฟเจ† เจฎเจพเจนเจฐ เจจเฉ‚เฉฐ เจ‡เฉฑเจ• เจœเจพเจ‚ เจฆเฉ‚เจœเฉ‡ เจคเจฐเฉ€เจ•เฉ‡ เจจเจพเจฒ เจ‡เจธ CVE เจจเฉ‚เฉฐ เจตเฉฑเจ– เจ•เจฐเจจเจพ เจชเจตเฉ‡เจ—เจพ เจ…เจคเฉ‡ เจ…เฉฑเจชเจกเฉ‡เจŸ เจ•เจฐเจจ เจฌเจพเจฐเฉ‡ เจธเฉ‹เจšเจฃเจพ เจชเจตเฉ‡เจ—เจพเฅค

URL เจจเฉ‚เฉฐ SCA เจŸเฉ‚เจฒเจธ เจฆเฉเจ†เจฐเจพ เจตเฉ€ เจตเจฐเจคเจฟเจ† เจœเจพเจ‚เจฆเจพ เจนเฉˆเฅค เจชเฉˆเจ•เฉ‡เจœ URL เจซเจพเจฐเจฎเฉˆเจŸ เจ‡เจธ เจคเจฐเฉเจนเจพเจ‚ เจนเฉˆ:

scheme:type/namespace/name@version?qualifiers#subpath

  • เจธเจ•เฉ€เจฎ: เจนเจฎเฉ‡เจธเจผเจพ 'pkg' เจนเฉ‹เจตเฉ‡เจ—เจพ เจœเฉ‹ เจ‡เจน เจฆเจฐเจธเจพเจ‰เจ‚เจฆเจพ เจนเฉˆ เจ•เจฟ เจ‡เจน เจ‡เฉฑเจ• เจชเฉˆเจ•เฉ‡เจœ URL เจนเฉˆ (เจฒเฉ‹เฉœเฉ€เจ‚เจฆเจพ)
  • เจ•เจฟเจธเจฎ: เจชเฉˆเจ•เฉ‡เจœ เจฆเฉ€ "เจ•เจฟเจธเจฎ" เจœเจพเจ‚ เจชเฉˆเจ•เฉ‡เจœ เจฆเจพ "เจชเฉเจฐเฉ‹เจŸเฉ‹เจ•เฉ‹เจฒ", เจœเจฟเจตเฉ‡เจ‚ เจ•เจฟ เจฎเจพเจตเฉ‡เจจ, เจเจจเจชเฉ€เจเจฎ, เจจเฉ‚เจ—เฉ‡เจŸ, เจฐเจคเจจ, เจชเจพเจˆเจชเฉ€, เจ†เจฆเจฟเฅค (เจฒเฉ‹เฉœเฉ€เจ‚เจฆเจพ)
  • เจจเฉ‡เจฎเจธเจชเฉ‡เจธ: เจ•เฉเจ เจจเจพเจฎ เจ…เจ—เฉ‡เจคเจฐ, เจœเจฟเจตเฉ‡เจ‚ เจ•เจฟ เจ‡เฉฑเจ• Maven เจธเจฎเฉ‚เจน ID, Docker เจšเจฟเฉฑเจคเจฐ เจฎเจพเจฒเจ•, GitHub เจ‰เจชเจญเฉ‹เจ—เจคเจพ, เจœเจพเจ‚ เจธเฉฐเจ—เจ เจจเฅค เจตเจฟเจ•เจฒเจชเจฟเจ• เจ…เจคเฉ‡ เจ•เจฟเจธเจฎ 'เจคเฉ‡ เจจเจฟเจฐเจญเจฐ เจ•เจฐเจฆเจพ เจนเฉˆเฅค
  • เจจเจพเจฎ: เจชเฉˆเจ•เฉ‡เจœ เจฆเจพ เจจเจพเจฎ (เจฒเฉ‹เฉœเฉ€เจ‚เจฆเจพ)
  • เจตเจฐเจœเจจ: เจชเฉˆเจ•เฉ‡เจœ เจธเฉฐเจธเจ•เจฐเจฃ
  • เจ•เฉเจ†เจฒเฉ€เจซเจพเจ‡เจฐ: เจชเฉˆเจ•เฉ‡เจœ เจฒเจˆ เจตเจพเจงเฉ‚ เจฏเฉ‹เจ—เจคเจพ เจกเฉ‡เจŸเจพ, เจœเจฟเจตเฉ‡เจ‚ เจ•เจฟ OS, เจ†เจฐเจ•เฉ€เจŸเฉˆเจ•เจšเจฐ, เจกเจฟเจธเจŸเฉเจฐเฉ€เจฌเจฟเจŠเจธเจผเจจ, เจ†เจฆเจฟเฅค เจตเจฟเจ•เจฒเจชเจฟเจ• เจ…เจคเฉ‡ เจ•เจฟเจธเจฎ-เจตเจฟเจธเจผเฉ‡เจธเจผเฅค
  • เจธเจฌเจชเจพเจฅ: เจชเฉˆเจ•เฉ‡เจœ เจฐเฉ‚เจŸ เจจเจพเจฒ เจธเฉฐเจฌเฉฐเจงเจฟเจค เจชเฉˆเจ•เฉ‡เจœ เจตเจฟเฉฑเจš เจตเจพเจงเฉ‚ เจฎเจพเจฐเจ—

เจ‰เจฆเจพเจนเจฐเจจ เจฒเจˆ:

pkg:golang/google.golang.org/genproto#googleapis/api/annotations
pkg:maven/org.apache.commons/[email protected]
pkg:pypi/[email protected]

เจจเจฟเจฐเจญเจฐเจคเจพ เจŸเจฐเฉˆเจ• โ€” เจ‡เฉฑเจ• เจ†เจจ-เจชเฉเจฐเฉ€เจฎเจฟเจธ เจตเฉˆเฉฑเจฌ เจชเจฒเฉ‡เจŸเจซเจพเจฐเจฎ เจœเฉ‹ เจคเจฟเจ†เจฐ เจ•เฉ€เจคเฉ‡ เจฌเจฟเจฒ เจ†เจซเจผ เจฎเจŸเฉ€เจฐเฉ€เจ…เจฒเจœเจผ (BOM) เจจเฉ‚เฉฐ เจธเจตเฉ€เจ•เจพเจฐ เจ•เจฐเจฆเจพ เจนเฉˆ เจšเฉฑเจ•เจฐเจตเจพเจค เจกเฉ€เจเจ•เจธ ะธ เจเจธ.เจชเฉ€.เจกเฉ€.เจเจ•เจธ, เจฏเจพเจจเฉ€ เจฎเฉŒเจœเฉ‚เจฆเจพ เจจเจฟเจฐเจญเจฐเจคเจพเจตเจพเจ‚ เจฌเจพเจฐเฉ‡ เจคเจฟเจ†เจฐ-เจฌเจฃเจพเจˆเจ†เจ‚ เจตเจฟเจธเจผเฉ‡เจธเจผเจคเจพเจตเจพเจ‚เฅค เจ‡เจน เจ‡เฉฑเจ• XML เจซเจพเจˆเจฒ เจนเฉˆ เจœเฉ‹ เจจเจฟเจฐเจญเจฐเจคเจพ เจฆเจพ เจตเจฐเจฃเจจ เจ•เจฐเจฆเฉ€ เจนเฉˆ - เจจเจพเจฎ, เจนเฉˆเจธเจผ, เจชเฉˆเจ•เฉ‡เจœ url, เจชเฉเจฐเจ•เจพเจธเจผเจ•, เจฒเจพเจ‡เจธเฉˆเจ‚เจธเฅค เจ…เฉฑเจ—เฉ‡, เจจเจฟเจฐเจญเจฐเจคเจพ เจŸเจฐเฉˆเจ• BOM เจจเฉ‚เฉฐ เจชเจพเจฐเจธ เจ•เจฐเจฆเจพ เจนเฉˆ, เจ•เจฎเจœเจผเฉ‹เจฐเฉ€ เจกเฉ‡เจŸเจพเจฌเฉ‡เจธ (NVD, Sonatype OSS Index...) เจคเฉ‹เจ‚ เจชเจ›เจพเจฃเฉ€เจ†เจ‚ เจ—เจˆเจ†เจ‚ เจจเจฟเจฐเจญเจฐเจคเจพเจตเจพเจ‚ เจฒเจˆ เจ‰เจชเจฒเจฌเจง CVEs เจจเฉ‚เฉฐ เจฆเฉ‡เจ–เจฆเจพ เจนเฉˆ, เจœเจฟเจธ เจคเฉ‹เจ‚ เจฌเจพเจ…เจฆ เจ‡เจน เจ—เฉเจฐเจพเจซ เจฌเจฃเจพเจ‰เจ‚เจฆเจพ เจนเฉˆ, เจฎเฉˆเจŸเฉเจฐเจฟเจ•เจธ เจฆเฉ€ เจ—เจฃเจจเจพ เจ•เจฐเจฆเจพ เจนเฉˆ, เจ•เฉฐเจชเฉ‹เจจเฉˆเจ‚เจŸเจธ เจฆเฉ€ เจ•เจฎเจœเจผเฉ‹เจฐเฉ€ เจธเจฅเจฟเจคเฉ€ 'เจคเฉ‡ เจจเจฟเจฏเจฎเจฟเจค เจคเฉŒเจฐ 'เจคเฉ‡ เจกเจพเจŸเจพ เจ…เฉฑเจชเจกเฉ‡เจŸ เจ•เจฐเจฆเจพ เจนเฉˆเฅค .

เจ‡เฉฑเจ• BOM XML เจซเจพเจฐเจฎเฉˆเจŸ เจตเจฟเฉฑเจš เจ•เจฟเจนเฉ‹ เจœเจฟเจนเจพ เจฆเจฟเจ–เจพเจˆ เจฆเฉ‡ เจธเจ•เจฆเจพ เจนเฉˆ เจฆเฉ€ เจ‡เฉฑเจ• เจ‰เจฆเจพเจนเจฐเจจ:

<?xml version="1.0" encoding="UTF-8"?>
<bom xmlns="http://cyclonedx.org/schema/bom/1.2" serialNumber="urn:uuid:3e671687-395b-41f5-a30f-a58921a69b79" version="1">
  <components>
    <component type="library">
      <publisher>Apache</publisher>
      <group>org.apache.tomcat</group>
      <name>tomcat-catalina</name>
      <version>9.0.14</version>
      <hashes>
        <hash alg="MD5">3942447fac867ae5cdb3229b658f4d48</hash>
        <hash alg="SHA-1">e6b1000b94e835ffd37f4c6dcbdad43f4b48a02a</hash>
        <hash alg="SHA-256">f498a8ff2dd007e29c2074f5e4b01a9a01775c3ff3aeaf6906ea503bc5791b7b</hash>
        <hash alg="SHA-512">e8f33e424f3f4ed6db76a482fde1a5298970e442c531729119e37991884bdffab4f9426b7ee11fccd074eeda0634d71697d6f88a460dce0ac8d627a29f7d1282</hash>
      </hashes>
      <licenses>
        <license>
          <id>Apache-2.0</id>
        </license>
      </licenses>
      <purl>pkg:maven/org.apache.tomcat/[email protected]</purl>
    </component>
      <!-- More components here -->
  </components>
</bom>

BOM เจฆเฉ€ เจตเจฐเจคเฉ‹เจ‚ เจจเจพ เจธเจฟเจฐเจซเจผ เจจเจฟเจฐเจญเจฐเจคเจพ เจŸเฉเจฐเฉˆเจ• เจฒเจˆ เจ‡เจจเจชเฉเจŸ เจชเฉˆเจฐเจพเจฎเฉ€เจŸเจฐเจพเจ‚ เจฆเฉ‡ เจคเฉŒเจฐ 'เจคเฉ‡ เจ•เฉ€เจคเฉ€ เจœเจพ เจธเจ•เจฆเฉ€ เจนเฉˆ, เจธเจ—เฉ‹เจ‚ เจธเจชเจฒเจพเจˆ เจšเฉ‡เจจ เจตเจฟเฉฑเจš เจธเฉŒเจซเจŸเจตเฉ‡เจ…เจฐ เจญเจพเจ—เจพเจ‚ เจฆเฉ€ เจธเฉ‚เจšเฉ€ เจฌเจฃเจพเจ‰เจฃ เจฒเจˆ เจตเฉ€ เจตเจฐเจคเฉ€ เจœเจพ เจธเจ•เจฆเฉ€ เจนเฉˆ, เจ‰เจฆเจพเจนเจฐเจจ เจฒเจˆ, เจ—เจพเจนเจ• เจจเฉ‚เฉฐ เจธเฉŒเจซเจŸเจตเฉ‡เจ…เจฐ เจชเฉเจฐเจฆเจพเจจ เจ•เจฐเจจ เจฒเจˆเฅค 2014 เจตเจฟเฉฑเจš, เจธเฉฐเจฏเฉเจ•เจค เจฐเจพเจœ เจตเจฟเฉฑเจš เจ‡เฉฑเจ• เจ•เจพเจจเฉ‚เฉฐเจจ เจตเฉ€ เจชเฉเจฐเจธเจคเจพเจตเจฟเจค เจ•เฉ€เจคเจพ เจ—เจฟเจ† เจธเฉ€ "เจธเจพเจˆเจฌเจฐ เจธเจชเจฒเจพเจˆ เจšเฉ‡เจจ เจชเฉเจฐเจฌเฉฐเจงเจจ เจ…เจคเฉ‡ เจชเจพเจฐเจฆเจฐเจธเจผเจคเจพ เจเจ•เจŸ 2014", เจœเจฟเจธ เจตเจฟเฉฑเจš เจ•เจฟเจนเจพ เจ—เจฟเจ† เจนเฉˆ เจ•เจฟ เจธเฉŒเจซเจŸเจตเฉ‡เจ…เจฐ เจ–เจฐเฉ€เจฆเจฃ เจตเฉ‡เจฒเฉ‡, เจ•เฉ‹เจˆ เจตเฉ€ เจฐเจพเจœ. เจธเฉฐเจธเจฅเจพ เจจเฉ‚เฉฐ เจ•เจฎเจœเจผเฉ‹เจฐ เจนเจฟเฉฑเจธเจฟเจ†เจ‚ เจฆเฉ€ เจตเจฐเจคเฉ‹เจ‚ เจจเฉ‚เฉฐ เจฐเฉ‹เจ•เจฃ เจฒเจˆ BOM เจจเฉ‚เฉฐ เจฌเฉ‡เจจเจคเฉ€ เจ•เจฐเจจเฉ€ เจšเจพเจนเฉ€เจฆเฉ€ เจนเฉˆ, เจชเจฐ เจ‡เจน เจเจ•เจŸ เจ…เจœเฉ‡ เจฒเจพเจ—เฉ‚ เจจเจนเฉ€เจ‚ เจนเฉ‹เจ‡เจ† เจนเฉˆเฅค

SCA 'เจคเฉ‡ เจตเจพเจชเจธ เจ†เจ‰เจฃเจพ, เจจเจฟเจฐเจญเจฐเจคเจพ เจŸเฉเจฐเฉˆเจ• เจ•เฉ‹เจฒ เจจเฉ‹เจŸเฉ€เจซเจฟเจ•เฉ‡เจธเจผเจจ เจชเจฒเฉ‡เจŸเจซเจพเจฐเจฎเจพเจ‚ เจœเจฟเจตเฉ‡เจ‚ เจ•เจฟ เจธเจฒเฉˆเจ•, เจ•เจฎเจœเจผเฉ‹เจฐเฉ€ เจชเฉเจฐเจฌเฉฐเจงเจจ เจชเฉเจฐเจฃเจพเจฒเฉ€เจ†เจ‚ เจœเจฟเจตเฉ‡เจ‚ เจ•เฉ‡เจจเจพ เจธเฉเจฐเฉฑเจ–เจฟเจ† เจจเจพเจฒ เจคเจฟเจ†เจฐ-เจฌเจฃเจพเจ‡เจ† เจเจ•เฉ€เจ•เจฐเจฃ เจนเฉˆเฅค เจ‡เจน เจตเฉ€ เจ•เจนเจฟเจฃเจพ เจฏเฉ‹เจ— เจนเฉˆ เจ•เจฟ เจจเจฟเจฐเจญเจฐเจคเจพ เจŸเจฐเฉˆเจ•, เจนเฉ‹เจฐ เจšเฉ€เจœเจผเจพเจ‚ เจฆเฉ‡ เจจเจพเจฒ, เจชเฉˆเจ•เฉ‡เจœเจพเจ‚ เจฆเฉ‡ เจชเฉเจฐเจพเจฃเฉ‡ เจธเฉฐเจธเจ•เจฐเจฃเจพเจ‚ เจฆเฉ€ เจชเจ›เจพเจฃ เจ•เจฐเจฆเจพ เจนเฉˆ เจ…เจคเฉ‡ เจฒเจพเจ‡เจธเฉˆเจ‚เจธเจพเจ‚ เจฌเจพเจฐเฉ‡ เจœเจพเจฃเจ•เจพเจฐเฉ€ เจชเฉเจฐเจฆเจพเจจ เจ•เจฐเจฆเจพ เจนเฉˆ (SPDX เจธเจนเจพเจ‡เจคเจพ เจฆเฉ‡ เจ•เจพเจฐเจจ)เฅค

เจœเฉ‡ เจ…เจธเฉ€เจ‚ เจตเจฟเจธเจผเฉ‡เจธเจผ เจคเฉŒเจฐ 'เจคเฉ‡ SCA เจฆเฉ€ เจ—เฉเจฃเจตเฉฑเจคเจพ เจฌเจพเจฐเฉ‡ เจ—เฉฑเจฒ เจ•เจฐเฉ€เจ, เจคเจพเจ‚ เจ‡เฉฑเจ• เจฌเฉเจจเจฟเจ†เจฆเฉ€ เจ…เฉฐเจคเจฐ เจนเฉˆ.

เจจเจฟเจฐเจญเจฐเจคเจพ เจŸเฉเจฐเฉˆเจ• เจชเฉเจฐเฉ‹เจœเฉˆเจ•เจŸ เจจเฉ‚เฉฐ เจ‡เจจเจชเฉเจŸ เจตเจœเฉ‹เจ‚ เจธเจตเฉ€เจ•เจพเจฐ เจจเจนเฉ€เจ‚ เจ•เจฐเจฆเจพ, เจธเจ—เฉ‹เจ‚ เจฌเฉ€.เจ“.เจเจฎ. เจ‡เจธเจฆเจพ เจฎเจคเจฒเจฌ เจนเฉˆ เจ•เจฟ เจœเฉ‡เจ•เจฐ เจ…เจธเฉ€เจ‚ เจชเฉเจฐเฉ‹เจœเฉˆเจ•เจŸ เจฆเฉ€ เจœเจพเจ‚เจš เจ•เจฐเจจเจพ เจšเจพเจนเฉเฉฐเจฆเฉ‡ เจนเจพเจ‚, เจคเจพเจ‚ เจธเจพเจจเฉ‚เฉฐ เจชเจนเจฟเจฒเจพเจ‚ bom.xml เจฌเจฃเจพเจ‰เจฃ เจฆเฉ€ เจฒเฉ‹เฉœ เจนเฉˆ, เจ‰เจฆเจพเจนเจฐเจจ เจฒเจˆ CycloneDX เจฆเฉ€ เจตเจฐเจคเฉ‹เจ‚ เจ•เจฐเจจเจพเฅค เจ‡เจธ เจคเจฐเฉเจนเจพเจ‚, เจจเจฟเจฐเจญเจฐเจคเจพ เจŸเจฐเฉˆเจ• เจธเจฟเฉฑเจงเจพ CycloneDX 'เจคเฉ‡ เจจเจฟเจฐเจญเจฐ เจนเฉˆเฅค เจ‰เจธเฉ‡ เจธเจฎเฉ‡เจ‚, เจ‡เจน เจ…เจจเฉเจ•เฉ‚เจฒเจฟเจค เจ•เจฐเจจ เจฆเฉ€ เจ†เจ—เจฟเจ† เจฆเจฟเฉฐเจฆเจพ เจนเฉˆ. เจ‡เจน เจ“เจœเจผเฉ‹เจจ เจŸเฉ€เจฎ เจจเฉ‡ เจฒเจฟเจ–เจฟเจ† เจนเฉˆ CycloneDX เจฎเฉ‹เจกเฉ€เจŠเจฒ เจจเจฟเจฐเจญเจฐเจคเจพ เจŸเจฐเฉˆเจ• เจฆเฉเจ†เจฐเจพ เจนเฉ‹เจฐ เจธเจ•เฉˆเจจเจฟเฉฐเจ— เจฒเจˆ เจ—เฉ‹เจฒเฉฐเจ— เจชเฉเจฐเฉ‹เจœเฉˆเจ•เจŸเจพเจ‚ เจฒเจˆ BOM เจซเจพเจˆเจฒเจพเจ‚ เจจเฉ‚เฉฐ เจ‡เจ•เฉฑเจ เจพ เจ•เจฐเจจ เจฒเจˆเฅค

Nexus IQ Sonatype เจฆเจพ เจ‡เฉฑเจ• เจตเจชเจพเจฐเจ• SCA เจนเฉฑเจฒ เจนเฉˆ, เจœเฉ‹ Sonatype เจˆเจ•เฉ‹เจธเจฟเจธเจŸเจฎ เจฆเจพ เจนเจฟเฉฑเจธเจพ เจนเฉˆ, เจœเจฟเจธ เจตเจฟเฉฑเจš Nexus เจฐเจฟเจชเฉ‹เจœเจผเจŸเจฐเฉ€ เจฎเฉˆเจจเฉ‡เจœเจฐ เจตเฉ€ เจธเจผเจพเจฎเจฒ เจนเฉˆเฅค Nexus IQ เจตเฉˆเฉฑเจฌ เจ‡เฉฐเจŸเจฐเจซเฉ‡เจธ เจœเจพเจ‚ API, เจ…เจคเฉ‡ BOM เจฐเจพเจนเฉ€เจ‚ เจœเฉฐเจ—เฉ€ เจชเฉเจฐเจพเจฒเฉ‡เจ–เจพเจ‚ (เจœเจพเจตเจพ เจชเฉเจฐเฉ‹เจœเฉˆเจ•เจŸเจพเจ‚ เจฒเจˆ) เจฆเฉ‹เจตเฉ‡เจ‚ เจ‡เจจเจชเฉเจŸ เจตเจœเฉ‹เจ‚ เจธเจตเฉ€เจ•เจพเจฐ เจ•เจฐ เจธเจ•เจฆเจพ เจนเฉˆ, เจœเฉ‡เจ•เจฐ เจคเฉเจนเจพเจกเฉ€ เจธเฉฐเจธเจฅเจพ เจจเฉ‡ เจ…เจœเฉ‡ เจคเฉฑเจ• CycloneDX เจคเฉ‹เจ‚ เจจเจตเฉ‡เจ‚ เจนเฉฑเจฒ 'เจคเฉ‡ เจธเจตเจฟเจš เจจเจนเฉ€เจ‚ เจ•เฉ€เจคเจพ เจนเฉˆเฅค เจ“เจชเจจ เจธเฉ‹เจฐเจธ เจนเฉฑเจฒเจพเจ‚ เจฆเฉ‡ เจ‰เจฒเจŸ, IQ เจจเจพ เจธเจฟเจฐเจซเจผ เจชเจ›เจพเจฃเฉ‡ เจ—เจ เจนเจฟเฉฑเจธเฉ‡ เจ…เจคเฉ‡ เจกเจพเจŸเจพเจฌเฉ‡เจธ เจตเจฟเฉฑเจš เจธเฉฐเจฌเฉฐเจงเจฟเจค เจ•เจฎเจœเจผเฉ‹เจฐเฉ€ เจฒเจˆ CP/PURL เจฆเจพ เจนเจตเจพเจฒเจพ เจฆเจฟเฉฐเจฆเจพ เจนเฉˆ, เจธเจ—เฉ‹เจ‚ เจ†เจชเจฃเฉ€ เจ–เฉเจฆ เจฆเฉ€ เจ–เฉ‹เจœ เจจเฉ‚เฉฐ เจตเฉ€ เจงเจฟเจ†เจจ เจตเจฟเฉฑเจš เจฐเฉฑเจ–เจฆเจพ เจนเฉˆ, เจ‰เจฆเจพเจนเจฐเจจ เจฒเจˆ, เจ•เจฎเจœเจผเฉ‹เจฐ เจซเฉฐเจ•เจธเจผเจจ เจœเจพเจ‚ เจ•เจฒเจพเจธ เจฆเจพ เจจเจพเจฎเฅค เจจเจคเฉ€เจœเจฟเจ†เจ‚ เจฆเฉ‡ เจตเจฟเจธเจผเจฒเฉ‡เจธเจผเจฃ เจตเจฟเฉฑเจš เจฌเจพเจ…เจฆ เจตเจฟเฉฑเจš IQ เจฆเฉ€ เจตเจฟเจงเฉ€ เจฌเจพเจฐเฉ‡ เจšเจฐเจšเจพ เจ•เฉ€เจคเฉ€ เจœเจพเจตเฉ‡เจ—เฉ€เฅค

เจ†เจ“ เจ•เฉเจ เจ•เจพเจฐเจœเจธเจผเฉ€เจฒ เจตเจฟเจธเจผเฉ‡เจธเจผเจคเจพเจตเจพเจ‚ เจฆเจพ เจธเจพเจฐ เจ•เจฐเฉ€เจ, เจ…เจคเฉ‡ เจตเจฟเจธเจผเจฒเฉ‡เจธเจผเจฃ เจฒเจˆ เจธเจฎเจฐเจฅเจฟเจค เจญเจพเจธเจผเจพเจตเจพเจ‚ 'เจคเฉ‡ เจตเฉ€ เจตเจฟเจšเจพเจฐ เจ•เจฐเฉ€เจ:

เจญเจพเจธเจผเจพ
Nexus IQ
เจจเจฟเจฐเจญเจฐเจคเจพ เจœเจพเจ‚เจš
เจจเจฟเจฐเจญเจฐเจคเจพ เจŸเจฐเฉˆเจ•

เจœเจพเจตเจพ
+
+
+

C / C ++
+
+
-

C#
+
+
-

.Net
+
+
+

เจเจฐเจพเจฒเฉฐเจ—
-
-
+

JavaScript (NodeJS)
+
+
+

PHP
+
+
+

เจชเจพเจˆเจฅเจจ
+
+
+

เจฐเฉ‚เจฌเฉ€
+
+
+

เจชเจฐเจฒ
-
-
-

เจธเจ•เฉ‡เจฒเจพ
+
+
+

เจ‰เจฆเฉ‡เจธเจผ เจธเฉ€
+
+
-

เจธเจตเจฟเจซเจŸ
+
+
-

R
+
-
-

Go
+
+
+

เจ•เจพเจฐเจœเจธเจผเฉ€เจฒเจคเจพ

เจ•เจพเจฐเจœเจธเจผเฉ€เจฒเจคเจพ
Nexus IQ
เจจเจฟเจฐเจญเจฐเจคเจพ เจœเจพเจ‚เจš
เจจเจฟเจฐเจญเจฐเจคเจพ เจŸเจฐเฉˆเจ•

เจ‡เจน เจฏเจ•เฉ€เจจเฉ€ เจฌเจฃเจพเจ‰เจฃ เจฆเฉ€ เจฏเฉ‹เจ—เจคเจพ เจ•เจฟ เจธเจฐเฉ‹เจค เจ•เฉ‹เจก เจตเจฟเฉฑเจš เจตเจฐเจคเฉ‡ เจ—เจ เจญเจพเจ—เจพเจ‚ เจฆเฉ€ เจฒเจพเจ‡เจธเฉฐเจธเจธเจผเฉเจฆเจพ เจธเจผเฉเฉฑเจงเจคเจพ เจฒเจˆ เจœเจพเจ‚เจš เจ•เฉ€เจคเฉ€ เจœเจพเจ‚เจฆเฉ€ เจนเฉˆ
+
-
+

เจกเฉŒเจ•เจฐ เจšเจฟเฉฑเจคเจฐเจพเจ‚ เจฒเจˆ เจ•เจฎเจœเจผเฉ‹เจฐเฉ€เจ†เจ‚ เจ…เจคเฉ‡ เจฒเจพเจ‡เจธเฉˆเจ‚เจธ เจธเจซเจพเจˆ เจฒเจˆ เจธเจ•เฉˆเจจ เจ…เจคเฉ‡ เจตเจฟเจธเจผเจฒเฉ‡เจธเจผเจฃ เจ•เจฐเจจ เจฆเฉ€ เจธเจฎเจฐเฉฑเจฅเจพ
+ เจ•เจฒเฉ‡เจ…เจฐ เจจเจพเจฒ เจเจ•เฉ€เจ•เจฐเจฃ
-
-

เจ“เจชเจจ เจธเฉ‹เจฐเจธ เจฒเจพเจ‡เจฌเฉเจฐเฉ‡เจฐเฉ€เจ†เจ‚ เจฆเฉ€ เจตเจฐเจคเฉ‹เจ‚ เจ•เจฐเจจ เจฒเจˆ เจธเฉเจฐเฉฑเจ–เจฟเจ† เจจเฉ€เจคเฉ€เจ†เจ‚ เจจเฉ‚เฉฐ เจ•เฉŒเจ‚เจซเจฟเจ—เจฐ เจ•เจฐเจจ เจฆเฉ€ เจธเจฎเจฐเฉฑเจฅเจพ
+
-
-

เจ•เจฎเจœเจผเฉ‹เจฐ เจ•เฉฐเจชเฉ‹เจจเฉˆเจ‚เจŸเจธ เจฒเจˆ เจ“เจชเจจ เจธเฉ‹เจฐเจธ เจฐเจฟเจชเฉ‹เจœเจผเจŸเจฐเฉ€เจ†เจ‚ เจจเฉ‚เฉฐ เจธเจ•เฉˆเจจ เจ•เจฐเจจ เจฆเฉ€ เจธเจฎเจฐเฉฑเจฅเจพ
+ RubyGems, Maven, NPM, Nuget, Pypi, Conan, Bower, Conda, Go, p2, R, Yum, Helm, Docker, CocoaPods, Git LFS
-
+ เจนเฉˆเจ•เจธ, เจฐเฉ‚เจฌเฉ€เจ—เฉ‡เจฎเจœเจผ, เจฎเจพเจตเฉ‡เจจ, เจเจจเจชเฉ€เจเจฎ, เจจเฉ‚เจ—เฉ‡เจŸ, เจชเจพเจˆเจชเฉ€

เจ‡เฉฑเจ• เจตเจฟเจธเจผเฉ‡เจธเจผ เจ–เฉ‹เจœ เจธเจฎเฉ‚เจน เจฆเฉ€ เจ‰เจชเจฒเจฌเจงเจคเจพ
+
-
-

เจฌเฉฐเจฆ เจฒเฉ‚เจช เจ“เจชเจฐเฉ‡เจธเจผเจจ
+
+
+

เจคเฉ€เจœเฉ€ เจงเจฟเจฐ เจฆเฉ‡ เจกเฉ‡เจŸเจพเจฌเฉ‡เจธ เจฆเฉ€ เจตเจฐเจคเฉ‹เจ‚ เจ•เจฐเจจเจพ
+ เจฌเฉฐเจฆ เจธเฉ‹เจจเจพเจŸเจพเจˆเจช เจกเจพเจŸเจพเจฌเฉ‡เจธ
+ เจธเฉ‹เจจเจพเจŸเจพเจˆเจช OSS, NPM เจชเจฌเจฒเจฟเจ• เจธเจฒเจพเจนเจ•เจพเจฐ
+ เจธเฉ‹เจจเจพเจŸเจพเจˆเจช OSS, NPM เจชเจฌเจฒเจฟเจ• เจธเจฒเจพเจนเจ•เจพเจฐ, RetireJS, VulnDB, เจ‡เจธเจฆเฉ‡ เจ†เจชเจฃเฉ‡ เจ•เจฎเจœเจผเฉ‹เจฐ เจกเฉ‡เจŸเจพเจฌเฉ‡เจธ เจฒเจˆ เจธเจฎเจฐเจฅเจจ

เจ•เฉŒเจ‚เจซเจฟเจ—เจฐ เจ•เฉ€เจคเฉ€เจ†เจ‚ เจจเฉ€เจคเฉ€เจ†เจ‚ เจฆเฉ‡ เจ…เจจเฉเจธเจพเจฐ เจตเจฟเจ•เจพเจธ เจฒเฉ‚เจช เจตเจฟเฉฑเจš เจฒเฉ‹เจก เจ•เจฐเจจ เจฆเฉ€ เจ•เฉ‹เจธเจผเจฟเจธเจผ เจ•เจฐเจฆเฉ‡ เจธเจฎเฉ‡เจ‚ เจ“เจชเจจ เจธเฉ‹เจฐเจธ เจ•เฉฐเจชเฉ‹เจจเฉˆเจ‚เจŸเจธ เจจเฉ‚เฉฐ เจซเจฟเจฒเจŸเจฐ เจ•เจฐเจจ เจฆเฉ€ เจธเจฎเจฐเฉฑเจฅเจพ
+
-
-

เจ•เจฎเจœเจผเฉ‹เจฐเฉ€เจ†เจ‚ เจจเฉ‚เฉฐ เจ เฉ€เจ• เจ•เจฐเจจ เจฒเจˆ เจธเจฟเจซเจผเจพเจฐเจฟเจธเจผเจพเจ‚, เจซเจฟเจ•เจธเจพเจ‚ เจฒเจˆ เจฒเจฟเฉฐเจ•เจพเจ‚ เจฆเฉ€ เจ‰เจชเจฒเจฌเจงเจคเจพ
+
+- (เจœเจจเจคเจ• เจกเฉ‡เจŸเจพเจฌเฉ‡เจธ เจตเจฟเฉฑเจš เจตเจฐเจฃเจจ 'เจคเฉ‡ เจจเจฟเจฐเจญเจฐ เจ•เจฐเจฆเจพ เจนเฉˆ)
+- (เจœเจจเจคเจ• เจกเฉ‡เจŸเจพเจฌเฉ‡เจธ เจตเจฟเฉฑเจš เจตเจฐเจฃเจจ 'เจคเฉ‡ เจจเจฟเจฐเจญเจฐ เจ•เจฐเจฆเจพ เจนเฉˆ)

เจ—เฉฐเจญเฉ€เจฐเจคเจพ เจฆเฉเจ†เจฐเจพ เจ–เฉ‹เจœเฉ€เจ†เจ‚ เจ—เจˆเจ†เจ‚ เจ•เจฎเจœเจผเฉ‹เจฐเฉ€เจ†เจ‚ เจฆเฉ€ เจฆเจฐเจœเจพเจฌเฉฐเจฆเฉ€
+
+
+

เจญเฉ‚เจฎเจฟเจ•เจพ-เจ…เจงเจพเจฐเจฟเจค เจชเจนเฉเฉฐเจš เจฎเจพเจกเจฒ
+
-
+

CLI เจธเจนเจฟเจฏเฉ‹เจ—
+
+
+- (เจ•เฉ‡เจตเจฒ CycloneDX เจฒเจˆ)

เจชเจฐเจฟเจญเจพเจธเจผเจฟเจค เจฎเจพเจชเจฆเฉฐเจกเจพเจ‚ เจฆเฉ‡ เจ…เจจเฉเจธเจพเจฐ เจ•เจฎเจœเจผเฉ‹เจฐเฉ€เจ†เจ‚ เจฆเจพ เจจเจฎเฉ‚เจจเจพ/เจ›เจพเจ‚เจŸเจฃเจพ
+
-
+

เจเจชเจฒเฉ€เจ•เฉ‡เจธเจผเจจ เจธเจฅเจฟเจคเฉ€ เจฆเฉเจ†เจฐเจพ เจกเฉˆเจธเจผเจฌเฉ‹เจฐเจก
+
-
+

PDF เจซเจพเจฐเจฎเฉˆเจŸ เจตเจฟเฉฑเจš เจฐเจฟเจชเฉ‹เจฐเจŸเจพเจ‚ เจคเจฟเจ†เจฐ เจ•เฉ€เจคเฉ€เจ†เจ‚ เจœเจพ เจฐเจนเฉ€เจ†เจ‚ เจนเจจ
+
-
-

JSONCSV เจซเจพเจฐเจฎเฉˆเจŸ เจตเจฟเฉฑเจš เจฐเจฟเจชเฉ‹เจฐเจŸเจพเจ‚ เจคเจฟเจ†เจฐ เจ•เฉ€เจคเฉ€เจ†เจ‚ เจœเจพ เจฐเจนเฉ€เจ†เจ‚ เจนเจจ
+
+
-

เจฐเฉ‚เจธเฉ€ เจญเจพเจธเจผเจพ เจฆเจพ เจธเจฎเจฐเจฅเจจ
-
-
-

เจเจ•เฉ€เจ•เจฐเจฃ เจธเจฎเจฐเฉฑเจฅเจพเจตเจพเจ‚

เจเจ•เฉ€เจ•เจฐเจฃ
Nexus IQ
เจจเจฟเจฐเจญเจฐเจคเจพ เจœเจพเจ‚เจš
เจจเจฟเจฐเจญเจฐเจคเจพ เจŸเจฐเฉˆเจ•

LDAP/เจเจ•เจŸเจฟเจต เจกเจพเจ‡เจฐเฉˆเจ•เจŸเจฐเฉ€ เจเจ•เฉ€เจ•เจฐเจฃ
+
-
+

เจจเจฟเจฐเฉฐเจคเจฐ เจเจ•เฉ€เจ•เจฐเจฃ เจชเฉเจฐเจฃเจพเจฒเฉ€ เจฌเจพเจ‚เจธ เจฆเฉ‡ เจจเจพเจฒ เจเจ•เฉ€เจ•เจฐเจฃ
+
-
-

เจจเจฟเจฐเฉฐเจคเจฐ เจเจ•เฉ€เจ•เจฐเจฃ เจชเฉเจฐเจฃเจพเจฒเฉ€ เจŸเฉ€เจฎเจธเจฟเจŸเฉ€ เจจเจพเจฒ เจเจ•เฉ€เจ•เจฐเจฃ
+
-
-

เจฒเจ—เจพเจคเจพเจฐ เจเจ•เฉ€เจ•เจฐเจฃ เจธเจฟเจธเจŸเจฎ GitLab เจจเจพเจฒ เจเจ•เฉ€เจ•เจฐเจฃ
+
+- (GitLab เจฒเจˆ เจ‡เฉฑเจ• เจชเจฒเฉฑเจ—เจ‡เจจ เจตเจœเฉ‹เจ‚)
+

เจจเจฟเจฐเฉฐเจคเจฐ เจเจ•เฉ€เจ•เจฐเจฃ เจชเฉเจฐเจฃเจพเจฒเฉ€ เจœเฉ‡เจจเจ•เจฟเฉฐเจธ เจจเจพเจฒ เจเจ•เฉ€เจ•เจฐเจฃ
+
+
+

IDE เจฒเจˆ เจชเจฒเฉฑเจ—เจ‡เจจ เจฆเฉ€ เจ‰เจชเจฒเจฌเจงเจคเจพ
+ IntelliJ, Eclipse, Visual Studio
-
-

เจŸเฉ‚เจฒ เจฆเฉ€ เจตเฉˆเฉฑเจฌ-เจธเจฐเจตเจฟเจธเจฟเจœเจผ (API) เจฆเฉเจ†เจฐเจพ เจ•เจธเจŸเจฎ เจเจ•เฉ€เจ•เจฐเจฃ เจฒเจˆ เจธเจฎเจฐเจฅเจจ
+
-
+

เจจเจฟเจฐเจญเจฐเจคเจพ เจœเจพเจ‚เจš

เจชเจนเจฟเจฒเฉ€ เจธเจผเฉเจฐเฉ‚เจ†เจค

เจšเจฒเฉ‹ เจ‡เฉฑเจ• เจœเจพเจฃเจฌเฉเฉฑเจ เจ•เฉ‡ เจ•เจฎเจœเจผเฉ‹เจฐ เจเจชเจฒเฉ€เจ•เฉ‡เจธเจผเจจ 'เจคเฉ‡ เจจเจฟเจฐเจญเจฐเจคเจพ เจœเจพเจ‚เจš เจšเจฒเจพเจˆเจ เจกเฉ€.เจตเฉ€.เจœเฉ‡.เจ.

เจ‡เจธเจฆเฉ‡ เจฒเจˆ เจ…เจธเฉ€เจ‚ เจตเจฐเจคเจพเจ‚เจ—เฉ‡ เจจเจฟเจฐเจญเจฐเจคเจพ เจœเจพเจ‚เจš เจฎเจพเจตเฉ‡เจจ เจชเจฒเฉฑเจ—เจ‡เจจ:

mvn org.owasp:dependency-check-maven:check

เจจเจคเฉ€เจœเฉ‡ เจตเจœเฉ‹เจ‚, dependency-check-report.html เจŸเจพเจฐเจ—เจฟเจŸ เจกเจพเจ‡เจฐเฉˆเจ•เจŸเจฐเฉ€ เจตเจฟเฉฑเจš เจฆเจฟเจ–เจพเจˆ เจฆเฉ‡เจตเฉ‡เจ—เจพเฅค

DevSecOps: เจธเฉฐเจšเจพเจฒเจจ เจฆเฉ‡ เจธเจฟเจงเจพเจ‚เจค เจ…เจคเฉ‡ SCA เจฆเฉ€ เจคเฉเจฒเจจเจพเฅค เจญเจพเจ— เจ‡เฉฑเจ•

เจšเจฒเฉ‹ เจซเจพเจˆเจฒ เจ–เฉ‹เจฒเฉเจนเฉ€เจเฅค เจ•เจฎเจœเจผเฉ‹เจฐเฉ€เจ†เจ‚ เจฆเฉ€ เจ•เฉเฉฑเจฒ เจธเฉฐเจ–เจฟเจ† เจฌเจพเจฐเฉ‡ เจธเฉฐเจ–เฉ‡เจช เจœเจพเจฃเจ•เจพเจฐเฉ€ เจคเฉ‹เจ‚ เจฌเจพเจ…เจฆ, เจ…เจธเฉ€เจ‚ เจชเฉˆเจ•เฉ‡เจœ, CPE, เจ…เจคเฉ‡ CVE เจฆเฉ€ เจธเฉฐเจ–เจฟเจ† เจจเฉ‚เฉฐ เจฆเจฐเจธเจพเจ‰เจ‚เจฆเฉ‡ เจนเฉ‹เจ, เจ‰เฉฑเจš เจชเฉฑเจงเจฐเฉ€ เจ—เฉฐเจญเฉ€เจฐเจคเจพ เจ…เจคเฉ‡ เจตเจฟเจธเจผเจตเจพเจธ เจจเจพเจฒ เจ•เจฎเจœเจผเฉ‹เจฐเฉ€เจ†เจ‚ เจฌเจพเจฐเฉ‡ เจœเจพเจฃเจ•เจพเจฐเฉ€ เจฆเฉ‡เจ– เจธเจ•เจฆเฉ‡ เจนเจพเจ‚เฅค

เจ…เฉฑเจ—เฉ‡ เจนเฉ‹เจฐ เจตเจฟเจธเจคเฉเจฐเจฟเจค เจœเจพเจฃเจ•เจพเจฐเฉ€ เจ†เจ‰เจ‚เจฆเฉ€ เจนเฉˆ, เจ–เจพเจธ เจคเฉŒเจฐ 'เจคเฉ‡ เจœเจฟเจธ เจ†เจงเจพเจฐ 'เจคเฉ‡ เจซเฉˆเจธเจฒเจพ เจฒเจฟเจ† เจ—เจฟเจ† เจธเฉ€ (เจธเจฌเฉ‚เจค), เจฏเจพเจจเฉ€ เจ•เจฟ เจ‡เฉฑเจ• เจ–เจพเจธ BOMเฅค

DevSecOps: เจธเฉฐเจšเจพเจฒเจจ เจฆเฉ‡ เจธเจฟเจงเจพเจ‚เจค เจ…เจคเฉ‡ SCA เจฆเฉ€ เจคเฉเจฒเจจเจพเฅค เจญเจพเจ— เจ‡เฉฑเจ•

เจ…เฉฑเจ—เฉ‡ CPE, PURL เจ…เจคเฉ‡ CVE เจตเฉ‡เจฐเจตเจพ เจ†เจ‰เจ‚เจฆเจพ เจนเฉˆเฅค เจคเจฐเฉ€เจ•เฉ‡ เจจเจพเจฒ, NVD เจกเฉ‡เจŸเจพเจฌเฉ‡เจธ เจตเจฟเฉฑเจš เจ‰เจนเจจเจพเจ‚ เจฆเฉ€ เจ—เฉˆเจฐเจนเจพเจœเจผเจฐเฉ€ เจฆเฉ‡ เจ•เจพเจฐเจจ เจธเฉเจงเจพเจฐ เจฒเจˆ เจธเจฟเจซเจพเจฐเจฟเจธเจผเจพเจ‚ เจธเจผเจพเจฎเจฒ เจจเจนเฉ€เจ‚ เจ•เฉ€เจคเฉ€เจ†เจ‚ เจ—เจˆเจ†เจ‚ เจนเจจเฅค

DevSecOps: เจธเฉฐเจšเจพเจฒเจจ เจฆเฉ‡ เจธเจฟเจงเจพเจ‚เจค เจ…เจคเฉ‡ SCA เจฆเฉ€ เจคเฉเจฒเจจเจพเฅค เจญเจพเจ— เจ‡เฉฑเจ•

เจธเจ•เฉˆเจจ เจฆเฉ‡ เจจเจคเฉ€เจœเจฟเจ†เจ‚ เจจเฉ‚เฉฐ เจฏเฉ‹เจœเจจเจพเจฌเฉฑเจง เจขเฉฐเจ— เจจเจพเจฒ เจฆเฉ‡เจ–เจฃ เจฒเจˆ, เจคเฉเจธเฉ€เจ‚ Nginx เจจเฉ‚เฉฐ เจจเจฟเจŠเจจเจคเจฎ เจธเฉˆเจŸเจฟเฉฐเจ—เจพเจ‚ เจจเจพเจฒ เจ•เฉŒเจ‚เจซเจฟเจ—เจฐ เจ•เจฐ เจธเจ•เจฆเฉ‡ เจนเฉ‹, เจœเจพเจ‚ เจจเจคเฉ€เจœเฉ‡ เจตเจพเจฒเฉ‡ เจจเฉเจ•เจธ เจจเฉ‚เฉฐ เจ‡เฉฑเจ• เจจเฉเจ•เจธ เจชเฉเจฐเจฌเฉฐเจงเจจ เจธเจฟเจธเจŸเจฎ เจจเฉ‚เฉฐ เจญเฉ‡เจœ เจธเจ•เจฆเฉ‡ เจนเฉ‹ เจœเฉ‹ เจจเจฟเจฐเจญเจฐเจคเจพ เจœเจพเจ‚เจš เจฒเจˆ เจ•เจจเฉˆเจ•เจŸเจฐเจพเจ‚ เจฆเจพ เจธเจฎเจฐเจฅเจจ เจ•เจฐเจฆเจพ เจนเฉˆเฅค เจ‰เจฆเจพเจนเจฐเจจ เจฒเจˆ, Defect Dojo.

เจจเจฟเจฐเจญเจฐเจคเจพ เจŸเจฐเฉˆเจ•

เจธเฉˆเจŸเจฟเฉฐเจ—

เจจเจฟเจฐเจญเจฐเจคเจพ เจŸเฉเจฐเฉˆเจ•, เจฌเจฆเจฒเฉ‡ เจตเจฟเฉฑเจš, เจกเจฟเจธเจชเจฒเฉ‡ เจ—เฉเจฐเจพเจซเจพเจ‚ เจตเจพเจฒเจพ เจ‡เฉฑเจ• เจตเฉˆเฉฑเจฌ-เจ…เจงเจพเจฐเจฟเจค เจชเจฒเฉ‡เจŸเจซเจพเจฐเจฎ เจนเฉˆ, เจ‡เจธเจฒเจˆ เจ‡เฉฑเจ• เจคเฉ€เจœเฉ€-เจงเจฟเจฐ เจฆเฉ‡ เจนเฉฑเจฒ เจตเจฟเฉฑเจš เจจเฉเจ•เจธ เจธเจŸเฉ‹เจฐ เจ•เจฐเจจ เจฆเจพ เจฆเจฌเจพเจ‰เจฃ เจตเจพเจฒเจพ เจฎเฉเฉฑเจฆเจพ เจ‡เฉฑเจฅเฉ‡ เจชเฉˆเจฆเจพ เจจเจนเฉ€เจ‚ เจนเฉเฉฐเจฆเจพเฅค
เจ‡เฉฐเจธเจŸเจพเจฒเฉ‡เจธเจผเจจ เจฒเจˆ เจธเจฎเจฐเจฅเจฟเจค เจธเจ•เฉเจฐเจฟเจชเจŸเจพเจ‚ เจนเจจ: เจกเฉŒเจ•เจฐ, เจตเจพเจฐ, เจเจ—เจœเจผเฉ€เจ•เจฟเจŠเจŸเฉ‡เจฌเจฒ เจตเจพเจฐเฅค

เจชเจนเจฟเจฒเฉ€ เจธเจผเฉเจฐเฉ‚เจ†เจค

เจ…เจธเฉ€เจ‚ เจšเฉฑเจฒ เจฐเจนเฉ€ เจธเฉ‡เจตเจพ เจฆเฉ‡ URL 'เจคเฉ‡ เจœเจพเจ‚เจฆเฉ‡ เจนเจพเจ‚เฅค เจ…เจธเฉ€เจ‚ เจเจกเจฎเจฟเจจ/เจเจกเจฎเจฟเจจ เจฐเจพเจนเฉ€เจ‚ เจฒเฉŒเจ—เจ‡เจจ เจ•เจฐเจฆเฉ‡ เจนเจพเจ‚, เจฒเฉŒเจ—เจ‡เจจ เจ…เจคเฉ‡ เจชเจพเจธเจตเจฐเจก เจฌเจฆเจฒเจฆเฉ‡ เจนเจพเจ‚, เจ…เจคเฉ‡ เจซเจฟเจฐ เจกเฉˆเจธเจผเจฌเฉ‹เจฐเจก 'เจคเฉ‡ เจœเจพเจ‚เจฆเฉ‡ เจนเจพเจ‚เฅค เจ…เจ—เจฒเฉ€ เจšเฉ€เจœเจผ เจœเฉ‹ เจ…เจธเฉ€เจ‚ เจ•เจฐเจพเจ‚เจ—เฉ‡ เจ‰เจน เจนเฉˆ Java เจตเจฟเฉฑเจš เจ‡เฉฑเจ• เจŸเฉˆเจธเจŸ เจเจชเจฒเฉ€เจ•เฉ‡เจธเจผเจจ เจฒเจˆ เจ‡เฉฑเจ• เจชเฉเจฐเฉ‹เจœเฉˆเจ•เจŸ เจฌเจฃเจพเจ‰เจฃเจพ เจ˜เจฐ/เจชเฉเจฐเฉ‹เจœเฉˆเจ•เจŸ โ†’ เจชเฉเจฐเฉ‹เจœเฉˆเจ•เจŸ เจฌเจฃเจพเจ“ . เจ†เจ“ เจกเฉ€เจตเฉ€เจœเฉ‡เจ เจจเฉ‚เฉฐ เจ‡เฉฑเจ• เจ‰เจฆเจพเจนเจฐเจฃ เจตเจœเฉ‹เจ‚ เจฒเฉˆเจ‚เจฆเฉ‡ เจนเจพเจ‚เฅค

DevSecOps: เจธเฉฐเจšเจพเจฒเจจ เจฆเฉ‡ เจธเจฟเจงเจพเจ‚เจค เจ…เจคเฉ‡ SCA เจฆเฉ€ เจคเฉเจฒเจจเจพเฅค เจญเจพเจ— เจ‡เฉฑเจ•

เจ•เจฟเจ‰เจ‚เจ•เจฟ เจจเจฟเจฐเจญเจฐเจคเจพ เจŸเจฐเฉˆเจ• เจธเจฟเจฐเจซเจผ BOM เจจเฉ‚เฉฐ เจ‡เจจเจชเฉเจŸ เจตเจœเฉ‹เจ‚ เจธเจตเฉ€เจ•เจพเจฐ เจ•เจฐ เจธเจ•เจฆเจพ เจนเฉˆ, เจ‡เจธ BOM เจจเฉ‚เฉฐ เจฎเฉเฉœ เจชเฉเจฐเจพเจชเจค เจ•เฉ€เจคเจพ เจœเจพเจฃเจพ เจšเจพเจนเฉ€เจฆเจพ เจนเฉˆเฅค เจ†เจ“ เจฒเจพเจญ เจ‰เจ เจพเจˆเจ CycloneDX Maven เจชเจฒเฉฑเจ—เจ‡เจจ:

mvn org.cyclonedx:cyclonedx-maven-plugin:makeAggregateBom

เจ…เจธเฉ€เจ‚ bom.xml เจชเฉเจฐเจพเจชเจค เจ•เจฐเจฆเฉ‡ เจนเจพเจ‚ เจ…เจคเฉ‡ เจฌเจฃเจพเจ เจชเฉเจฐเฉ‹เจœเฉˆเจ•เจŸ เจตเจฟเฉฑเจš เจซเจพเจˆเจฒ เจฒเฉ‹เจก เจ•เจฐเจฆเฉ‡ เจนเจพเจ‚ DVJA โ†’ เจจเจฟเจฐเจญเจฐเจคเจพ โ†’ BOM เจ…เฉฑเจชเจฒเฉ‹เจก เจ•เจฐเฉ‹.

เจšเจฒเฉ‹ เจชเฉเจฐเจธเจผเจพเจธเจจ โ†’ เจตเจฟเจธเจผเจฒเฉ‡เจธเจผเจ• 'เจคเฉ‡ เจšเฉฑเจฒเฉ€เจเฅค เจ…เจธเฉ€เจ‚ เจธเจฎเจเจฆเฉ‡ เจนเจพเจ‚ เจ•เจฟ เจธเจพเจกเฉ‡ เจ•เฉ‹เจฒ เจธเจฟเจฐเจซ เจ…เฉฐเจฆเจฐเฉ‚เจจเฉ€ เจตเจฟเจธเจผเจฒเฉ‡เจธเจผเจ• เจธเจฎเจฐเจฅเจฟเจค เจนเฉˆ, เจœเจฟเจธ เจตเจฟเฉฑเจš NVD เจธเจผเจพเจฎเจฒ เจนเฉˆเฅค เจ†เจ“ เจธเฉ‹เจจเจพเจŸเจพเจˆเจช OSS เจ‡เฉฐเจกเฉˆเจ•เจธ เจจเฉ‚เฉฐ เจตเฉ€ เจ•เจจเฉˆเจ•เจŸ เจ•เจฐเฉ€เจเฅค

DevSecOps: เจธเฉฐเจšเจพเจฒเจจ เจฆเฉ‡ เจธเจฟเจงเจพเจ‚เจค เจ…เจคเฉ‡ SCA เจฆเฉ€ เจคเฉเจฒเจจเจพเฅค เจญเจพเจ— เจ‡เฉฑเจ•

เจ‡เจธ เจคเจฐเฉเจนเจพเจ‚, เจธเจพเจจเฉ‚เฉฐ เจธเจพเจกเฉ‡ เจชเฉเจฐเฉ‹เจœเฉˆเจ•เจŸ เจฒเจˆ เจนเฉ‡เจ  เจฒเจฟเจ–เฉ€ เจคเจธเจตเฉ€เจฐ เจฎเจฟเจฒเจฆเฉ€ เจนเฉˆ:

DevSecOps: เจธเฉฐเจšเจพเจฒเจจ เจฆเฉ‡ เจธเจฟเจงเจพเจ‚เจค เจ…เจคเฉ‡ SCA เจฆเฉ€ เจคเฉเจฒเจจเจพเฅค เจญเจพเจ— เจ‡เฉฑเจ•

เจธเฉ‚เจšเฉ€ เจตเจฟเฉฑเจš เจคเฉเจธเฉ€เจ‚ เจธเฉ‹เจจเจพเจŸเจพเจˆเจช OSS 'เจคเฉ‡ เจฒเจพเจ—เฉ‚ เจนเฉ‹เจฃ เจตเจพเจฒเฉ€ เจ‡เฉฑเจ• เจ•เจฎเจœเจผเฉ‹เจฐเฉ€ เจตเฉ€ เจฒเฉฑเจญ เจธเจ•เจฆเฉ‡ เจนเฉ‹:

DevSecOps: เจธเฉฐเจšเจพเจฒเจจ เจฆเฉ‡ เจธเจฟเจงเจพเจ‚เจค เจ…เจคเฉ‡ SCA เจฆเฉ€ เจคเฉเจฒเจจเจพเฅค เจญเจพเจ— เจ‡เฉฑเจ•

เจฎเฉเฉฑเจ– เจจเจฟเจฐเจพเจธเจผเจพ เจ‡เจน เจธเฉ€ เจ•เจฟ เจจเจฟเจฐเจญเจฐเจคเจพ เจŸเจฐเฉˆเจ• เจนเฉเจฃ เจจเจฟเจฐเจญเจฐเจคเจพ เจœเจพเจ‚เจš xml เจฐเจฟเจชเฉ‹เจฐเจŸเจพเจ‚ เจจเฉ‚เฉฐ เจธเจตเฉ€เจ•เจพเจฐ เจจเจนเฉ€เจ‚ เจ•เจฐเจฆเจพ เจนเฉˆเฅค เจจเจฟเจฐเจญเจฐเจคเจพ เจœเจพเจ‚เจš เจเจ•เฉ€เจ•เจฐเจฃ เจฆเฉ‡ เจจเจตเฉ€เจจเจคเจฎ เจธเจฎเจฐเจฅเจฟเจค เจธเฉฐเจธเจ•เจฐเจฃ 1.0.0 - 4.0.2 เจธเจจ, เจœเจฆเฉ‹เจ‚ เจ•เจฟ เจฎเฉˆเจ‚ 5.3.2 เจฆเฉ€ เจœเจพเจ‚เจš เจ•เฉ€เจคเฉ€ เจธเฉ€เฅค

เจ‡เฉฑเจฅเฉ‡ ะฒะธะดะตะพ (เจ…เจคเฉ‡ เจฆเฉ‡เจ–!) เจœเจฆเฉ‹เจ‚ เจ‡เจน เจ…เจœเฉ‡ เจตเฉ€ เจธเฉฐเจญเจต เจธเฉ€เฅค

Nexus IQ

เจชเจนเจฟเจฒเฉ€ เจธเจผเฉเจฐเฉ‚เจ†เจค

Nexus IQ เจฆเฉ€ เจธเจฅเจพเจชเจจเจพ เจฆเฉ‡ เจชเฉเจฐเจพเจฒเฉ‡เจ–เจพเจ‚ เจคเฉ‹เจ‚ เจ†เจ‰เจ‚เจฆเฉ€ เจนเฉˆ เจฆเจธเจคเจพเจตเฉ‡เจœเจผ, เจชเจฐ เจ…เจธเฉ€เจ‚ เจ‡เจนเจจเจพเจ‚ เจ‰เจฆเฉ‡เจธเจผเจพเจ‚ เจฒเจˆ เจ‡เฉฑเจ• เจกเฉŒเจ•เจฐ เจšเจฟเฉฑเจคเจฐ เจฌเจฃเจพเจ‡เจ† เจนเฉˆเฅค

เจ•เฉฐเจธเฉ‹เจฒ เจตเจฟเฉฑเจš เจฒเฉŒเจ—เจ‡เจจ เจ•เจฐเจจ เจคเฉ‹เจ‚ เจฌเจพเจ…เจฆ, เจคเฉเจนเจพเจจเฉ‚เฉฐ เจ‡เฉฑเจ• เจธเฉฐเจ—เจ เจจ เจ…เจคเฉ‡ เจเจชเจฒเฉ€เจ•เฉ‡เจธเจผเจจ เจฌเจฃเจพเจ‰เจฃ เจฆเฉ€ เจฒเฉ‹เฉœ เจนเฉˆเฅค

DevSecOps: เจธเฉฐเจšเจพเจฒเจจ เจฆเฉ‡ เจธเจฟเจงเจพเจ‚เจค เจ…เจคเฉ‡ SCA เจฆเฉ€ เจคเฉเจฒเจจเจพเฅค เจญเจพเจ— เจ‡เฉฑเจ•

DevSecOps: เจธเฉฐเจšเจพเจฒเจจ เจฆเฉ‡ เจธเจฟเจงเจพเจ‚เจค เจ…เจคเฉ‡ SCA เจฆเฉ€ เจคเฉเจฒเจจเจพเฅค เจญเจพเจ— เจ‡เฉฑเจ•

DevSecOps: เจธเฉฐเจšเจพเจฒเจจ เจฆเฉ‡ เจธเจฟเจงเจพเจ‚เจค เจ…เจคเฉ‡ SCA เจฆเฉ€ เจคเฉเจฒเจจเจพเฅค เจญเจพเจ— เจ‡เฉฑเจ•

เจœเจฟเจตเฉ‡เจ‚ เจ•เจฟ เจคเฉเจธเฉ€เจ‚ เจฆเฉ‡เจ– เจธเจ•เจฆเฉ‡ เจนเฉ‹, IQ เจฆเฉ‡ เจฎเจพเจฎเจฒเฉ‡ เจตเจฟเฉฑเจš เจธเฉˆเฉฑเจŸเจ…เฉฑเจช เจ•เฉเจ เจนเฉ‹เจฐ เจ—เฉเฉฐเจเจฒเจฆเจพเจฐ เจนเฉˆ, เจ•เจฟเจ‰เจ‚เจ•เจฟ เจธเจพเจจเฉ‚เฉฐ เจตเฉฑเจ–-เจตเฉฑเจ– "เจชเฉœเจพเจตเจพเจ‚" (เจฆเฉ‡เจต, เจฌเจฟเจฒเจก, เจชเฉœเจพเจ…, เจฐเจฟเจฒเฉ€เจœเจผ) เจฒเจˆ เจฒเจพเจ—เฉ‚ เจนเฉ‹เจฃ เจตเจพเจฒเฉ€เจ†เจ‚ เจจเฉ€เจคเฉ€เจ†เจ‚ เจฌเจฃเจพเจ‰เจฃ เจฆเฉ€ เจตเฉ€ เจฒเฉ‹เฉœ เจนเฉˆเฅค เจ‡เจน เจ•เจฎเจœเจผเฉ‹เจฐ เจ•เฉฐเจชเฉ‹เจจเฉˆเจ‚เจŸเจธ เจจเฉ‚เฉฐ เจฌเจฒเจพเจ• เจ•เจฐเจจ เจฒเจˆ เจœเจผเจฐเฉ‚เจฐเฉ€ เจนเฉˆ เจ•เจฟเจ‰เจ‚เจ•เจฟ เจ‰เจน เจ‰เจคเจชเจพเจฆเจจ เจฆเฉ‡ เจจเฉ‡เฉœเฉ‡ เจชเจพเจˆเจชเจฒเจพเจˆเจจ เจฐเจพเจนเฉ€เจ‚ เจœเจพเจ‚เจฆเฉ‡ เจนเจจ, เจœเจพเจ‚ เจกเจฟเจตเฉˆเจฒเจชเจฐเจพเจ‚ เจฆเฉเจ†เจฐเจพ เจกเจพเจŠเจจเจฒเฉ‹เจก เจ•เฉ€เจคเฉ‡ เจœเจพเจฃ 'เจคเฉ‡ เจ‰เจน Nexus Repo เจตเจฟเฉฑเจš เจ†เจ‰เจ‚เจฆเฉ‡ เจนเฉ€ เจ‰เจนเจจเจพเจ‚ เจจเฉ‚เฉฐ เจฌเจฒเฉŒเจ• เจ•เจฐเจฆเฉ‡ เจนเจจเฅค

เจ“เจชเจจ เจธเฉ‹เจฐเจธ เจ…เจคเฉ‡ เจเจ‚เจŸเจฐเจชเฉเจฐเจพเจˆเจœเจผ เจตเจฟเฉฑเจš เจซเจฐเจ• เจฎเจนเจฟเจธเฉ‚เจธ เจ•เจฐเจจ เจฒเจˆ, เจ†เจ“ Nexus IQ เจฆเฉเจ†เจฐเจพ เจ‰เจธเฉ‡ เจคเจฐเฉ€เจ•เฉ‡ เจจเจพเจฒ เจธเจ•เฉˆเจจ เจ•เจฐเฉ€เจ Maven เจชเจฒเฉฑเจ—เจ‡เจจ, เจชเจนเจฟเจฒเจพเจ‚ NexusIQ เจ‡เฉฐเจŸเจฐเจซเฉ‡เจธ เจตเจฟเฉฑเจš เจ‡เฉฑเจ• เจŸเฉˆเจธเจŸ เจเจชเจฒเฉ€เจ•เฉ‡เจธเจผเจจ เจฌเจฃเจพเจˆ เจนเฉˆ dvja-test-and-compare:

mvn com.sonatype.clm:clm-maven-plugin:evaluate -Dclm.applicationId=dvja-test-and-compare -Dclm.serverUrl=<NEXUSIQIP> -Dclm.username=<USERNAME> -Dclm.password=<PASSWORD>

IQ เจตเฉˆเฉฑเจฌ เจ‡เฉฐเจŸเจฐเจซเฉ‡เจธ เจตเจฟเฉฑเจš เจคเจฟเจ†เจฐ เจ•เฉ€เจคเฉ€ เจ—เจˆ เจฐเจฟเจชเฉ‹เจฐเจŸ เจฒเจˆ URL เจฆเฉ€ เจชเจพเจฒเจฃเจพ เจ•เจฐเฉ‹:

DevSecOps: เจธเฉฐเจšเจพเจฒเจจ เจฆเฉ‡ เจธเจฟเจงเจพเจ‚เจค เจ…เจคเฉ‡ SCA เจฆเฉ€ เจคเฉเจฒเจจเจพเฅค เจญเจพเจ— เจ‡เฉฑเจ•

เจ‡เฉฑเจฅเฉ‡ เจคเฉเจธเฉ€เจ‚ เจตเฉฑเจ–-เจตเฉฑเจ– เจฎเจนเฉฑเจคเจต เจฆเฉ‡ เจชเฉฑเจงเจฐเจพเจ‚ (เจœเจพเจฃเจ•เจพเจฐเฉ€ เจคเฉ‹เจ‚ เจธเฉเจฐเฉฑเจ–เจฟเจ† เจ—เฉฐเจญเฉ€เจฐ เจคเฉฑเจ•) เจจเฉ‚เฉฐ เจฆเจฐเจธเจพเจ‰เจ‚เจฆเฉ€เจ†เจ‚ เจธเจพเจฐเฉ€เจ†เจ‚ เจจเฉ€เจคเฉ€ เจ‰เจฒเฉฐเจ˜เจฃเจพเจตเจพเจ‚ เจจเฉ‚เฉฐ เจฆเฉ‡เจ– เจธเจ•เจฆเฉ‡ เจนเฉ‹เฅค เจ•เฉฐเจชเฉ‹เจจเฉˆเจ‚เจŸ เจฆเฉ‡ เจ…เฉฑเจ—เฉ‡ เจ…เฉฑเจ–เจฐ D เจฆเจพ เจฎเจคเจฒเจฌ เจนเฉˆ เจ•เจฟ เจ•เฉฐเจชเฉ‹เจจเฉˆเจ‚เจŸ เจธเจฟเฉฑเจงเฉ€ เจจเจฟเจฐเจญเจฐเจคเจพ เจนเฉˆ, เจ…เจคเฉ‡ เจ•เฉฐเจชเฉ‹เจจเฉˆเจ‚เจŸ เจฆเฉ‡ เจ…เฉฑเจ—เฉ‡ เจ…เฉฑเจ–เจฐ T เจฆเจพ เจฎเจคเจฒเจฌ เจนเฉˆ เจ•เจฟ เจ•เฉฐเจชเฉ‹เจจเฉˆเจ‚เจŸ เจŸเจฐเจพเจ‚เจœเจผเจฟเจŸเจฟเจต เจจเจฟเจฐเจญเจฐเจคเจพ เจนเฉˆ, เจฏเจพเจจเฉ€ เจ‡เจน เจชเจฐเจฟเจตเจฐเจคเจจเจธเจผเฉ€เจฒ เจนเฉˆเฅค

เจคเจฐเฉ€เจ•เฉ‡ เจจเจพเจฒ, เจฐเจฟเจชเฉ‹เจฐเจŸ เจ“เจชเจจ เจธเฉ‹เจฐเจธ เจธเฉเจฐเฉฑเจ–เจฟเจ† เจฐเจฟเจชเฉ‹เจฐเจŸ 2020 เจฆเฉ€ เจธเจฅเจฟเจคเฉ€ Snyk เจคเฉ‹เจ‚ เจฐเจฟเจชเฉ‹เจฐเจŸ เจ•เจฐเจฆเจพ เจนเฉˆ เจ•เจฟ Node.js, Java เจ…เจคเฉ‡ Ruby เจตเจฟเฉฑเจš เจ–เฉ‹เจœเฉ€เจ†เจ‚ เจ—เจˆเจ†เจ‚ 70% เจคเฉ‹เจ‚ เจตเฉฑเจง เจ“เจชเจจ เจธเฉ‹เจฐเจธ เจ•เจฎเจœเจผเฉ‹เจฐเฉ€เจ†เจ‚ เจชเจฐเจฟเจตเจฐเจคเจจเจธเจผเฉ€เจฒ เจจเจฟเจฐเจญเจฐเจคเจพ เจตเจฟเฉฑเจš เจนเจจเฅค

เจœเฉ‡เจ•เจฐ เจ…เจธเฉ€เจ‚ Nexus IQ เจจเฉ€เจคเฉ€ เจฆเฉ€เจ†เจ‚ เจ‰เจฒเฉฐเจ˜เจฃเจพเจตเจพเจ‚ เจตเจฟเฉฑเจšเฉ‹เจ‚ เจ‡เฉฑเจ• เจจเฉ‚เฉฐ เจ–เฉ‹เจฒเฉเจนเจฆเฉ‡ เจนเจพเจ‚, เจคเจพเจ‚ เจ…เจธเฉ€เจ‚ เจ•เฉฐเจชเฉ‹เจจเฉˆเจ‚เจŸ เจฆเจพ เจตเฉ‡เจฐเจตเจพ เจฆเฉ‡เจ– เจธเจ•เจฆเฉ‡ เจนเจพเจ‚, เจจเจพเจฒ เจนเฉ€ เจ‡เฉฑเจ• เจธเฉฐเจธเจ•เจฐเจฃ เจ—เฉเจฐเจพเจซเจผ, เจœเฉ‹ เจธเจฎเจพเจ‚ เจ—เฉเจฐเจพเจซ เจตเจฟเฉฑเจš เจฎเฉŒเจœเฉ‚เจฆเจพ เจธเฉฐเจธเจ•เจฐเจฃ เจฆเฉ€ เจธเจฅเจฟเจคเฉ€ เจจเฉ‚เฉฐ เจฆเจฐเจธเจพเจ‰เจ‚เจฆเจพ เจนเฉˆ, เจ…เจคเฉ‡ เจจเจพเจฒ เจนเฉ€ เจ•เจฟเจธ เจฌเจฟเฉฐเจฆเฉ‚ 'เจคเฉ‡ เจ•เจฎเจœเจผเฉ‹เจฐเฉ€ เจฌเฉฐเจฆ เจนเฉ‹ เจœเจพเจ‚เจฆเฉ€ เจนเฉˆเฅค เจ•เจฎเจœเจผเฉ‹เจฐ เจนเฉ‹เจฃเจพ เจ—เฉเจฐเจพเจซ 'เจคเฉ‡ เจฎเฉ‹เจฎเจฌเฉฑเจคเฉ€เจ†เจ‚ เจฆเฉ€ เจ‰เจšเจพเจˆ เจ‡เจธ เจนเจฟเฉฑเจธเฉ‡ เจฆเฉ€ เจตเจฐเจคเฉ‹เจ‚ เจ•เจฐเจจ เจฆเฉ€ เจชเฉเจฐเจธเจฟเฉฑเจงเฉ€ เจจเฉ‚เฉฐ เจฆเจฐเจธเจพเจ‰เจ‚เจฆเฉ€ เจนเฉˆ.

DevSecOps: เจธเฉฐเจšเจพเจฒเจจ เจฆเฉ‡ เจธเจฟเจงเจพเจ‚เจค เจ…เจคเฉ‡ SCA เจฆเฉ€ เจคเฉเจฒเจจเจพเฅค เจญเจพเจ— เจ‡เฉฑเจ•

เจœเฉ‡ เจคเฉเจธเฉ€เจ‚ เจ•เจฎเจœเจผเฉ‹เจฐเฉ€ เจธเฉˆเจ•เจธเจผเจจ 'เจคเฉ‡ เจœเจพเจ‚เจฆเฉ‡ เจนเฉ‹ เจ…เจคเฉ‡ CVE เจฆเจพ เจตเจฟเจธเจคเจพเจฐ เจ•เจฐเจฆเฉ‡ เจนเฉ‹, เจคเจพเจ‚ เจคเฉเจธเฉ€เจ‚ เจ‡เจธ เจ•เจฎเจœเจผเฉ‹เจฐเฉ€ เจฆเจพ เจตเฉ‡เจฐเจตเจพ, เจ–เจพเจคเจฎเฉ‡ เจฒเจˆ เจธเจฟเจซเจผเจพเจฐเจธเจผเจพเจ‚, เจ…เจคเฉ‡ เจจเจพเจฒ เจนเฉ€ เจ‡เจธ เจนเจฟเฉฑเจธเฉ‡ เจฆเฉ€ เจ‰เจฒเฉฐเจ˜เจฃเจพ เจ•เจฐเจจ เจฆเจพ เจ•เจพเจฐเจจ เจชเฉœเฉเจน เจธเจ•เจฆเฉ‡ เจนเฉ‹, เจฏเจพเจจเฉ€ เจ•เจฟ เจ•เจฒเจพเจธ เจฆเฉ€ เจฎเฉŒเจœเฉ‚เจฆเจ—เฉ€เฅค DiskFileitem.class.

DevSecOps: เจธเฉฐเจšเจพเจฒเจจ เจฆเฉ‡ เจธเจฟเจงเจพเจ‚เจค เจ…เจคเฉ‡ SCA เจฆเฉ€ เจคเฉเจฒเจจเจพเฅค เจญเจพเจ— เจ‡เฉฑเจ•

DevSecOps: เจธเฉฐเจšเจพเจฒเจจ เจฆเฉ‡ เจธเจฟเจงเจพเจ‚เจค เจ…เจคเฉ‡ SCA เจฆเฉ€ เจคเฉเจฒเจจเจพเฅค เจญเจพเจ— เจ‡เฉฑเจ•

เจ†เจ‰ js เจ•เฉฐเจชเฉ‹เจจเฉˆเจ‚เจŸเจธ เจจเฉ‚เฉฐ เจนเจŸเจพเจ‰เจ‚เจฆเฉ‡ เจนเฉ‹เจ, เจธเจฟเจฐเจซ เจคเฉ€เจœเฉ€-เจงเจฟเจฐ เจœเจพเจตเจพ เจ•เฉฐเจชเฉ‹เจจเฉˆเจ‚เจŸเจธ เจจเจพเจฒ เจธเฉฐเจฌเฉฐเจงเจฟเจค เจ‰เจนเจจเจพเจ‚ เจฆเจพ เจธเฉฐเจ–เฉ‡เจช เจ•เจฐเฉ€เจเฅค เจฌเจฐเฉˆเจ•เจŸเจพเจ‚ เจตเจฟเฉฑเจš เจ…เจธเฉ€เจ‚ เจ•เจฎเจœเจผเฉ‹เจฐเฉ€เจ†เจ‚ เจฆเฉ€ เจธเฉฐเจ–เจฟเจ† เจจเฉ‚เฉฐ เจฆเจฐเจธเจพเจ‰เจ‚เจฆเฉ‡ เจนเจพเจ‚ เจœเฉ‹ NVD เจคเฉ‹เจ‚ เจฌเจพเจนเจฐ เจชเจพเจˆเจ†เจ‚ เจ—เจˆเจ†เจ‚ เจธเจจเฅค

เจ•เฉเฉฑเจฒ Nexus IQ:

  • เจจเจฟเจฐเจญเจฐเจคเจพเจตเจพเจ‚ เจธเจ•เฉˆเจจ เจ•เฉ€เจคเฉ€เจ†เจ‚ เจ—เจˆเจ†เจ‚: 62
  • เจ•เจฎเจœเจผเฉ‹เจฐ เจจเจฟเจฐเจญเจฐเจคเจพ: 16
  • เจ•เจฎเจœเจผเฉ‹เจฐเฉ€เจ†เจ‚ เจฒเฉฑเจญเฉ€เจ†เจ‚: 42 (8 เจธเฉ‹เจจเจพเจŸเจพเจˆเจช เจกเฉ€เจฌเฉ€)

เจ•เฉเฉฑเจฒ เจจเจฟเจฐเจญเจฐเจคเจพ เจœเจพเจ‚เจš:

  • เจจเจฟเจฐเจญเจฐเจคเจพเจตเจพเจ‚ เจธเจ•เฉˆเจจ เจ•เฉ€เจคเฉ€เจ†เจ‚ เจ—เจˆเจ†เจ‚: 47
  • เจ•เจฎเจœเจผเฉ‹เจฐ เจจเจฟเจฐเจญเจฐเจคเจพ: 13
  • เจ•เจฎเจœเจผเฉ‹เจฐเฉ€เจ†เจ‚ เจฒเฉฑเจญเฉ€เจ†เจ‚: 91 (14 เจธเฉ‹เจจเจพเจŸเจพเจˆเจช เจ“เจเจธเจเจธ)

เจ•เฉเฉฑเจฒ เจจเจฟเจฐเจญเจฐเจคเจพ เจŸเจฐเฉˆเจ•:

  • เจจเจฟเจฐเจญเจฐเจคเจพเจตเจพเจ‚ เจธเจ•เฉˆเจจ เจ•เฉ€เจคเฉ€เจ†เจ‚ เจ—เจˆเจ†เจ‚: 59
  • เจ•เจฎเจœเจผเฉ‹เจฐ เจจเจฟเจฐเจญเจฐเจคเจพ: 10
  • เจ•เจฎเจœเจผเฉ‹เจฐเฉ€เจ†เจ‚ เจฒเฉฑเจญเฉ€เจ†เจ‚: 51 (1 เจธเฉ‹เจจเจพเจŸเจพเจˆเจช เจ“เจเจธเจเจธ)

เจ…เจ—เจฒเฉ‡ เจชเฉœเจพเจตเจพเจ‚ เจตเจฟเฉฑเจš, เจ…เจธเฉ€เจ‚ เจชเฉเจฐเจพเจชเจค เจ•เฉ€เจคเฉ‡ เจจเจคเฉ€เจœเจฟเจ†เจ‚ เจฆเจพ เจตเจฟเจธเจผเจฒเฉ‡เจธเจผเจฃ เจ•เจฐเจพเจ‚เจ—เฉ‡ เจ…เจคเฉ‡ เจ‡เจน เจชเจคเจพ เจฒเจ—เจพเจตเจพเจ‚เจ—เฉ‡ เจ•เจฟ เจ‡เจนเจจเจพเจ‚ เจตเจฟเฉฑเจšเฉ‹เจ‚ เจ•เจฟเจนเฉœเฉ€เจ†เจ‚ เจ•เจฎเจœเจผเฉ‹เจฐเฉ€เจ†เจ‚ เจ‡เฉฑเจ• เจ…เจธเจฒเฉ€ เจจเฉเจ•เจธ เจนเฉˆ เจ…เจคเฉ‡ เจ•เจฟเจนเฉœเฉ€ เจ—เจฒเจค เจธเจ•เจพเจฐเจพเจคเจฎเจ• เจนเฉˆเฅค

เจฌเฉ‡เจฆเจพเจ…เจตเจพ

เจ‡เจน เจธเจฎเฉ€เจ–เจฟเจ† เจ‡เฉฑเจ• เจจเจฟเจฐเจตเจฟเจตเจพเจฆ เจธเฉฑเจšเจพเจˆ เจจเจนเฉ€เจ‚ เจนเฉˆเฅค เจฒเฉ‡เจ–เจ• เจฆเจพ เจฆเฉ‚เจธเจฐเจฟเจ†เจ‚ เจฆเฉ‡ เจชเจฟเจ›เฉ‹เจ•เฉœ เจฆเฉ‡ เจตเจฟเจฐเฉเฉฑเจง เจ‡เฉฑเจ• เจตเฉฑเจ–เจฐเฉ‡ เจธเจพเจงเจจ เจจเฉ‚เฉฐ เจ‰เจœเจพเจ—เจฐ เจ•เจฐเจจ เจฆเจพ เจŸเฉ€เจšเจพ เจจเจนเฉ€เจ‚ เจธเฉ€เฅค เจธเจฎเฉ€เจ–เจฟเจ† เจฆเจพ เจ‰เจฆเฉ‡เจธเจผ SCA เจŸเฉ‚เจฒเจธ เจฆเฉ‡ เจธเฉฐเจšเจพเจฒเจจ เจฆเฉ€ เจตเจฟเจงเฉ€ เจ…เจคเฉ‡ เจ‰เจนเจจเจพเจ‚ เจฆเฉ‡ เจจเจคเฉ€เจœเจฟเจ†เจ‚ เจฆเฉ€ เจœเจพเจ‚เจš เจ•เจฐเจจ เจฆเฉ‡ เจคเจฐเฉ€เจ•เฉ‡ เจฆเจฟเจ–เจพเจ‰เจฃเจพ เจธเฉ€เฅค

เจจเจคเฉ€เจœเจฟเจ†เจ‚ เจฆเฉ€ เจคเฉเจฒเจจเจพ

เจธเจผเจฐเจคเจพเจ‚:

เจฅเจฐเจก-เจชเจพเจฐเจŸเฉ€ เจ•เฉฐเจชเฉ‹เจจเฉˆเจ‚เจŸ เจ•เจฎเจœเจผเฉ‹เจฐเฉ€เจ†เจ‚ เจฒเจˆ เจ‡เฉฑเจ• เจ—เจฒเจค เจธเจ•เจพเจฐเจพเจคเจฎเจ• เจนเฉˆ:

  • เจชเจ›เจพเจฃเฉ‡ เจ—เจ เจนเจฟเฉฑเจธเฉ‡ เจจเจพเจฒ CVE เจฌเฉ‡เจฎเฉ‡เจฒ เจนเฉˆ
  • เจ‰เจฆเจพเจนเจฐเจจ เจฒเจˆ, เจœเฉ‡เจ•เจฐ เจธเจŸเจฐเจŸเจธ2 เจซเจฐเฉ‡เจฎเจตเจฐเจ• เจตเจฟเฉฑเจš เจ‡เฉฑเจ• เจ•เจฎเจœเจผเฉ‹เจฐเฉ€ เจฆเฉ€ เจชเจ›เจพเจฃ เจ•เฉ€เจคเฉ€ เจœเจพเจ‚เจฆเฉ€ เจนเฉˆ, เจ…เจคเฉ‡ เจŸเฉ‚เจฒ เจธเจŸเจฐเจŸเจธ-เจŸเจพเจˆเจฒ เจซเจฐเฉ‡เจฎเจตเจฐเจ• เจฆเฉ‡ เจ‡เฉฑเจ• เจนเจฟเฉฑเจธเฉ‡ เจตเฉฑเจฒ เจ‡เจธเจผเจพเจฐเจพ เจ•เจฐเจฆเจพ เจนเฉˆ, เจœเจฟเจธ 'เจคเฉ‡ เจ‡เจน เจ•เจฎเจœเจผเฉ‹เจฐเฉ€ เจฒเจพเจ—เฉ‚ เจจเจนเฉ€เจ‚ เจนเฉเฉฐเจฆเฉ€ เจนเฉˆ, เจคเจพเจ‚ เจ‡เจน เจ‡เฉฑเจ• เจ—เจฒเจค เจธเจ•เจพเจฐเจพเจคเจฎเจ• เจนเฉˆเฅค
  • CVE เจ•เฉฐเจชเฉ‹เจจเฉˆเจ‚เจŸ เจฆเฉ‡ เจชเจ›เจพเจฃเฉ‡ เจ—เจ เจธเฉฐเจธเจ•เจฐเจฃ เจจเจพเจฒ เจฎเฉ‡เจฒ เจจเจนเฉ€เจ‚ เจ–เจพเจ‚เจฆเจพ
  • เจ‰เจฆเจพเจนเจฐเจจ เจฒเจˆ, เจ•เจฎเจœเจผเฉ‹เจฐเฉ€ เจจเฉ‚เฉฐ python เจตเจฐเจœเจจ > 3.5 เจจเจพเจฒ เจœเฉ‹เฉœเจฟเจ† เจ—เจฟเจ† เจนเฉˆ เจ…เจคเฉ‡ เจŸเฉ‚เจฒ เจตเจฐเจœเจจ 2.7 เจจเฉ‚เฉฐ เจ•เจฎเจœเจผเฉ‹เจฐ เจตเจœเฉ‹เจ‚ เจšเจฟเฉฐเจจเฉเจนเจฟเจค เจ•เจฐเจฆเจพ เจนเฉˆ - เจ‡เจน เจ‡เฉฑเจ• เจ—เจฒเจค เจธเจ•เจพเจฐเจพเจคเจฎเจ• เจนเฉˆ, เจ•เจฟเจ‰เจ‚เจ•เจฟ เจ…เจธเจฒ เจตเจฟเฉฑเจš เจ•เจฎเจœเจผเฉ‹เจฐเฉ€ เจธเจฟเจฐเจซ 3.x เจ‰เจคเจชเจพเจฆ เจธเจผเจพเจ–เจพ 'เจคเฉ‡ เจฒเจพเจ—เฉ‚ เจนเฉเฉฐเจฆเฉ€ เจนเฉˆเฅค
  • เจกเฉเจชเจฒเฉ€เจ•เฉ‡เจŸ CVE
  • เจ‰เจฆเจพเจนเจฐเจจ เจฒเจˆ, เจœเฉ‡เจ•เจฐ SCA เจ‡เฉฑเจ• CVE เจจเจฟเจธเจผเจšเจฟเจค เจ•เจฐเจฆเจพ เจนเฉˆ เจœเฉ‹ เจ‡เฉฑเจ• RCE เจจเฉ‚เฉฐ เจธเจฎเจฐเฉฑเจฅ เจฌเจฃเจพเจ‰เจ‚เจฆเจพ เจนเฉˆ, เจคเจพเจ‚ SCA เจ‰เจธเฉ‡ เจนเจฟเฉฑเจธเฉ‡ เจฒเจˆ เจ‡เฉฑเจ• CVE เจจเจฟเจธเจผเจšเจฟเจค เจ•เจฐเจฆเจพ เจนเฉˆ เจœเฉ‹ เจ‰เจธ RCE เจฆเฉเจ†เจฐเจพ เจชเฉเจฐเจญเจพเจตเจฟเจค Cisco เจ‰เจคเจชเจพเจฆเจพเจ‚ 'เจคเฉ‡ เจฒเจพเจ—เฉ‚ เจนเฉเฉฐเจฆเจพ เจนเฉˆเฅค เจ‡เจธ เจ•เฉ‡เจธ เจตเจฟเฉฑเจš เจ‡เจน เจ—เจฒเจค เจธเจ•เจพเจฐเจพเจคเจฎเจ• เจนเฉ‹เจตเฉ‡เจ—เจพ.
  • เจ‰เจฆเจพเจนเจฐเจจ เจฒเจˆ, เจ‡เฉฑเจ• เจธเจชเจฐเจฟเฉฐเจ—-เจตเฉˆเจฌ เจ•เฉฐเจชเฉ‹เจจเฉˆเจ‚เจŸ เจตเจฟเฉฑเจš เจ‡เฉฑเจ• CVE เจชเจพเจ‡เจ† เจ—เจฟเจ† เจธเฉ€, เจœเจฟเจธ เจคเฉ‹เจ‚ เจฌเจพเจ…เจฆ SCA เจธเจชเจฐเจฟเฉฐเจ— เจซเจฐเฉ‡เจฎเจตเจฐเจ• เจฆเฉ‡ เจฆเฉ‚เจœเฉ‡ เจญเจพเจ—เจพเจ‚ เจตเจฟเฉฑเจš เจ‰เจธเฉ‡ CVE เจตเฉฑเจฒ เจ‡เจธเจผเจพเจฐเจพ เจ•เจฐเจฆเจพ เจนเฉˆ, เจœเจฆเฉ‹เจ‚ เจ•เจฟ CVE เจฆเจพ เจฆเฉ‚เจœเฉ‡ เจนเจฟเฉฑเจธเจฟเจ†เจ‚ เจจเจพเจฒ เจ•เฉ‹เจˆ เจฒเฉˆเจฃเจพ-เจฆเฉ‡เจฃเจพ เจจเจนเฉ€เจ‚ เจนเฉˆเฅค เจ‡เจธ เจ•เฉ‡เจธ เจตเจฟเฉฑเจš เจ‡เจน เจ—เจฒเจค เจธเจ•เจพเจฐเจพเจคเจฎเจ• เจนเฉ‹เจตเฉ‡เจ—เจพ.

เจ…เจงเจฟเจเจจ เจฆเจพ เจ‰เจฆเฉ‡เจธเจผ เจ“เจชเจจ เจธเฉ‹เจฐเจธ เจชเฉเจฐเฉ‹เจœเฉˆเจ•เจŸ เจกเฉ€เจตเฉ€เจœเฉ‡เจ เจธเฉ€เฅค เจ…เจงเจฟเจเจจ เจตเจฟเฉฑเจš เจธเจฟเจฐเจซเจผ เจœเจพเจตเจพ เจญเจพเจ— (เจœเฉ‡เจเจธ เจคเฉ‹เจ‚ เจฌเจฟเจจเจพเจ‚) เจธเจผเจพเจฎเจฒ เจธเจจเฅค

เจธเฉฐเจ–เฉ‡เจช เจจเจคเฉ€เจœเฉ‡

เจ†เจ“ เจชเจ›เจพเจฃเฉ€เจ†เจ‚ เจ—เจˆเจ†เจ‚ เจ•เจฎเจœเจผเฉ‹เจฐเฉ€เจ†เจ‚ เจฆเฉ€ เจฆเจธเจคเฉ€ เจธเจฎเฉ€เจ–เจฟเจ† เจฆเฉ‡ เจจเจคเฉ€เจœเจฟเจ†เจ‚ 'เจคเฉ‡ เจธเจฟเฉฑเจงเฉ‡ เจšเฉฑเจฒเฉ€เจเฅค เจนเจฐเฉ‡เจ• CVE เจฒเจˆ เจชเฉ‚เจฐเฉ€ เจฐเจฟเจชเฉ‹เจฐเจŸ เจ…เฉฐเจคเจฟเจ•เจพ เจตเจฟเฉฑเจš เจฆเฉ‡เจ–เฉ€ เจœเจพ เจธเจ•เจฆเฉ€ เจนเฉˆเฅค

เจธเจพเจฐเฉ€เจ†เจ‚ เจ•เจฎเจœเจผเฉ‹เจฐเฉ€เจ†เจ‚ เจฒเจˆ เจธเฉฐเจ–เฉ‡เจช เจจเจคเฉ€เจœเฉ‡:

เจชเฉˆเจฐเจพเจฎเฉ€เจŸเจฐ
Nexus IQ
เจจเจฟเจฐเจญเจฐเจคเจพ เจœเจพเจ‚เจš
เจจเจฟเจฐเจญเจฐเจคเจพ เจŸเจฐเฉˆเจ•

เจ•เฉเฉฑเจฒ เจ•เจฎเจœเจผเฉ‹เจฐเฉ€เจ†เจ‚ เจฆเฉ€ เจชเจ›เจพเจฃ เจ•เฉ€เจคเฉ€ เจ—เจˆ
42
91
51

เจ—เจฒเจค เจคเจฐเฉ€เจ•เฉ‡ เจจเจพเจฒ เจชเจ›เจพเจฃเฉ€เจ†เจ‚ เจ—เจˆเจ†เจ‚ เจ•เจฎเจœเจผเฉ‹เจฐเฉ€เจ†เจ‚ (เจ—เจฒเจค เจธเจ•เจพเจฐเจพเจคเจฎเจ•)
2 (4.76%)
62 (68,13%)
29 (56.86%)

เจ•เฉ‹เจˆ เจขเฉเฉฑเจ•เจตเฉ€เจ‚ เจ•เจฎเจœเจผเฉ‹เจฐเฉ€ เจจเจนเฉ€เจ‚ เจฎเจฟเจฒเฉ€ (เจ—เจฒเจค เจจเจ•เจพเจฐเจพเจคเจฎเจ•)
10
20
27

เจ•เฉฐเจชเฉ‹เจจเฉˆเจ‚เจŸ เจฆเฉเจ†เจฐเจพ เจธเฉฐเจ–เฉ‡เจช เจจเจคเฉ€เจœเฉ‡:

เจชเฉˆเจฐเจพเจฎเฉ€เจŸเจฐ
Nexus IQ
เจจเจฟเจฐเจญเจฐเจคเจพ เจœเจพเจ‚เจš
เจจเจฟเจฐเจญเจฐเจคเจพ เจŸเจฐเฉˆเจ•

เจ•เฉเฉฑเจฒ เจญเจพเจ—เจพเจ‚ เจฆเฉ€ เจชเจ›เจพเจฃ เจ•เฉ€เจคเฉ€ เจ—เจˆ
62
47
59

เจ•เฉเฉฑเจฒ เจ•เจฎเจœเจผเฉ‹เจฐ เจนเจฟเฉฑเจธเฉ‡
16
13
10

เจ—เจฒเจค เจคเจฐเฉ€เจ•เฉ‡ เจจเจพเจฒ เจชเจ›เจพเจฃเฉ‡ เจ—เจ เจ•เจฎเจœเจผเฉ‹เจฐ เจนเจฟเฉฑเจธเฉ‡ (เจ—เจฒเจค เจธเจ•เจพเจฐเจพเจคเจฎเจ•)
1
5
0

เจ—เจฒเจค เจคเจฐเฉ€เจ•เฉ‡ เจจเจพเจฒ เจชเจ›เจพเจฃเฉ‡ เจ—เจ เจ•เจฎเจœเจผเฉ‹เจฐ เจนเจฟเฉฑเจธเฉ‡ (เจ—เจฒเจค เจธเจ•เจพเจฐเจพเจคเจฎเจ•)
0
6
6

เจ†เจ‰ เจ•เจฎเจœเจผเฉ‹เจฐเฉ€เจ†เจ‚ เจฆเฉ€ เจ•เฉเฉฑเจฒ เจธเฉฐเจ–เจฟเจ† เจฒเจˆ เจเฉ‚เจ เฉ‡ เจธเจ•เจพเจฐเจพเจคเจฎเจ• เจ…เจคเฉ‡ เจเฉ‚เจ เฉ‡ เจจเฉˆเจ—เฉ‡เจŸเจฟเจต เจฆเฉ‡ เจ…เจจเฉเจชเจพเจค เจฆเจพ เจฎเฉเจฒเจพเจ‚เจ•เจฃ เจ•เจฐเจจ เจฒเจˆ เจตเจฟเจœเจผเฉ‚เจ…เจฒ เจ—เฉเจฐเจพเจซเจผ เจฌเจฃเจพเจ‰เจ‚เจฆเฉ‡ เจนเจพเจ‚เฅค เจญเจพเจ—เจพเจ‚ เจจเฉ‚เฉฐ เจ–เจฟเจคเจฟเจœเฉ€ เจคเฉŒเจฐ 'เจคเฉ‡ เจšเจฟเฉฐเจจเฉเจนเจฟเจค เจ•เฉ€เจคเจพ เจ—เจฟเจ† เจนเฉˆ, เจ…เจคเฉ‡ เจ‰เจนเจจเจพเจ‚ เจตเจฟเฉฑเจš เจชเจ›เจพเจฃเฉ€เจ†เจ‚ เจ—เจˆเจ†เจ‚ เจ•เจฎเจœเจผเฉ‹เจฐเฉ€เจ†เจ‚ เจจเฉ‚เฉฐ เจฒเฉฐเจฌเจ•เจพเจฐเฉ€ เจคเฉŒเจฐ 'เจคเฉ‡ เจšเจฟเฉฐเจจเฉเจนเจฟเจค เจ•เฉ€เจคเจพ เจ—เจฟเจ† เจนเฉˆเฅค

DevSecOps: เจธเฉฐเจšเจพเจฒเจจ เจฆเฉ‡ เจธเจฟเจงเจพเจ‚เจค เจ…เจคเฉ‡ SCA เจฆเฉ€ เจคเฉเจฒเจจเจพเฅค เจญเจพเจ— เจ‡เฉฑเจ•

DevSecOps: เจธเฉฐเจšเจพเจฒเจจ เจฆเฉ‡ เจธเจฟเจงเจพเจ‚เจค เจ…เจคเฉ‡ SCA เจฆเฉ€ เจคเฉเจฒเจจเจพเฅค เจญเจพเจ— เจ‡เฉฑเจ•

DevSecOps: เจธเฉฐเจšเจพเจฒเจจ เจฆเฉ‡ เจธเจฟเจงเจพเจ‚เจค เจ…เจคเฉ‡ SCA เจฆเฉ€ เจคเฉเจฒเจจเจพเฅค เจญเจพเจ— เจ‡เฉฑเจ•

เจคเฉเจฒเจจเจพ เจฒเจˆ, เจธเฉ‹เจจเจพเจŸเจพเจˆเจช เจŸเฉ€เจฎ เจฆเฉเจ†เจฐเจพ OWASP เจจเจฟเจฐเจญเจฐเจคเจพ เจœเจพเจ‚เจš เจฆเฉ€ เจตเจฐเจคเฉ‹เจ‚ เจ•เจฐเจฆเฉ‡ เจนเฉ‹เจ 1531 เจญเจพเจ—เจพเจ‚ เจฆเฉ‡ เจ‡เฉฑเจ• เจชเฉเจฐเฉ‹เจœเฉˆเจ•เจŸ เจฆเฉ€ เจœเจพเจ‚เจš เจ•เจฐเจจ เจฒเจˆ เจ‡เฉฑเจ• เจธเจฎเจพเจจ เจ…เจงเจฟเจเจจ เจ•เฉ€เจคเจพ เจ—เจฟเจ† เจธเฉ€เฅค เจœเจฟเจตเฉ‡เจ‚ เจ•เจฟ เจ…เจธเฉ€เจ‚ เจฆเฉ‡เจ– เจธเจ•เจฆเฉ‡ เจนเจพเจ‚, เจธเจนเฉ€ เจœเจตเจพเจฌเจพเจ‚ เจฒเจˆ เจธเจผเฉ‹เจฐ เจฆเจพ เจ…เจจเฉเจชเจพเจค เจธเจพเจกเฉ‡ เจจเจคเฉ€เจœเจฟเจ†เจ‚ เจจเจพเจฒ เจคเฉเจฒเจจเจพเจฏเฉ‹เจ— เจนเฉˆเฅค

DevSecOps: เจธเฉฐเจšเจพเจฒเจจ เจฆเฉ‡ เจธเจฟเจงเจพเจ‚เจค เจ…เจคเฉ‡ SCA เจฆเฉ€ เจคเฉเจฒเจจเจพเฅค เจญเจพเจ— เจ‡เฉฑเจ•
เจธเจฐเฉ‹เจค: www.sonatype.com/why-precision-matters-ebook

เจ†เจ‰ เจ‡เจนเจจเจพเจ‚ เจจเจคเฉ€เจœเจฟเจ†เจ‚ เจฆเฉ‡ เจ•เจพเจฐเจจ เจจเฉ‚เฉฐ เจธเจฎเจเจฃ เจฒเจˆ เจธเจพเจกเฉ‡ เจธเจ•เฉˆเจจ เจจเจคเฉ€เจœเจฟเจ†เจ‚ เจตเจฟเฉฑเจšเฉ‹เจ‚ เจ•เฉเจ CVE เจจเฉ‚เฉฐ เจตเฉ‡เจ–เฉ€เจเฅค

เจนเฉ‹เจฐ

เจจเฉฐเจฌเจฐ XXX

เจ†เจ“ เจชเจนเจฟเจฒเจพเจ‚ Sonatype Nexus IQ เจฌเจพเจฐเฉ‡ เจ•เฉเจ เจฆเจฟเจฒเจšเจธเจช เจจเฉเจ•เจคเจฟเจ†เจ‚ 'เจคเฉ‡ เจจเจœเจผเจฐ เจฎเจพเจฐเฉ€เจเฅค

Nexus IQ เจ•เจˆ เจตเจพเจฐ เจธเจชเจฐเจฟเฉฐเจ— เจซเจฐเฉ‡เจฎเจตเจฐเจ• เจตเจฟเฉฑเจš RCE เจ•เจฐเจจ เจฆเฉ€ เจฏเฉ‹เจ—เจคเจพ เจฆเฉ‡ เจจเจพเจฒ เจกเฉ€เจธเฉ€เจฐเฉ€เจ…เจฒเจพเจˆเจœเจผเฉ‡เจธเจผเจจ เจฆเฉ‡ เจจเจพเจฒ เจ‡เฉฑเจ• เจฎเฉเฉฑเจฆเฉ‡ เจตเฉฑเจฒ เจ‡เจธเจผเจพเจฐเจพ เจ•เจฐเจฆเจพ เจนเฉˆเฅค CVE-2016-1000027 spring-web เจตเจฟเฉฑเจš:3.0.5 เจชเจนเจฟเจฒเฉ€ เจตเจพเจฐ, เจ…เจคเฉ‡ CVE-2011-2894 เจฌเจธเฉฐเจค-เจธเฉฐเจฆเจฐเจญ เจตเจฟเฉฑเจš:3.0.5 เจ…เจคเฉ‡ เจธเจชเจฐเจฟเฉฐเจ—-เจ•เฉ‹เจฐ:3.0.5 เจตเจฟเฉฑเจšเฅค เจชเจนเจฟเจฒเจพเจ‚, เจ‡เจน เจœเจพเจชเจฆเจพ เจนเฉˆ เจ•เจฟ เจ•เจˆ CVEs เจตเจฟเฉฑเจš เจ•เจฎเจœเจผเฉ‹เจฐเฉ€ เจฆเฉ€ เจจเจ•เจฒ เจนเฉˆเฅค เจ•เจฟเจ‰เจ‚เจ•เจฟ, เจœเฉ‡ เจคเฉเจธเฉ€เจ‚ NVD เจกเฉ‡เจŸเจพเจฌเฉ‡เจธ เจตเจฟเฉฑเจš CVE-2016-1000027 เจ…เจคเฉ‡ CVE-2011-2894 เจจเฉ‚เฉฐ เจฆเฉ‡เจ–เจฆเฉ‡ เจนเฉ‹, เจคเจพเจ‚ เจ…เจœเจฟเจนเจพ เจฒเจ—เจฆเจพ เจนเฉˆ เจ•เจฟ เจธเจญ เจ•เฉเจ เจธเจชเฉฑเจธเจผเจŸ เจนเฉˆ

เจญเจพเจ—
เจ•เจฎเจœเจผเฉ‹เจฐเฉ€

spring-web:3.0.5
CVE-2016-1000027

เจฌเจธเฉฐเจค-เจชเฉเจฐเจธเฉฐเจ—: 3.0.5
CVE-2011-2894

เจธเจชเจฐเจฟเฉฐเจ—-เจ•เฉ‹เจฐ: 3.0.5
CVE-2011-2894

เจตเฉ‡เจฐเจตเจพ CVE-2011-2894 NVD เจคเฉ‹เจ‚:
DevSecOps: เจธเฉฐเจšเจพเจฒเจจ เจฆเฉ‡ เจธเจฟเจงเจพเจ‚เจค เจ…เจคเฉ‡ SCA เจฆเฉ€ เจคเฉเจฒเจจเจพเฅค เจญเจพเจ— เจ‡เฉฑเจ•

เจตเฉ‡เจฐเจตเจพ CVE-2016-1000027 NVD เจคเฉ‹เจ‚:
DevSecOps: เจธเฉฐเจšเจพเจฒเจจ เจฆเฉ‡ เจธเจฟเจงเจพเจ‚เจค เจ…เจคเฉ‡ SCA เจฆเฉ€ เจคเฉเจฒเจจเจพเฅค เจญเจพเจ— เจ‡เฉฑเจ•

CVE-2011-2894 เจ†เจชเจฃเฉ‡ เจ†เจช เจตเจฟเจš เจ•เจพเจซเฉ€ เจฎเจธเจผเจนเฉ‚เจฐ เจนเฉˆเฅค เจฐเจฟเจชเฉ‹เจฐเจŸ เจตเจฟเฉฑเจš เจตเฉเจนเจพเจˆเจŸ เจธเฉ‹เจฐเจธ 2011 เจ‡เจธ CVE เจจเฉ‚เฉฐ เจธเจญ เจคเฉ‹เจ‚ เจ†เจฎ เจตเจฟเฉฑเจšเฉ‹เจ‚ เจ‡เฉฑเจ• เจฎเฉฐเจจเจฟเจ† เจ—เจฟเจ† เจธเฉ€เฅค CVE-2016-100027 เจฒเจˆ เจตเจฐเจฃเจจ, เจธเจฟเจงเจพเจ‚เจคเจ• เจคเฉŒเจฐ 'เจคเฉ‡, NVD เจตเจฟเฉฑเจš เจฌเจนเฉเจค เจ˜เฉฑเจŸ เจนเจจ, เจ…เจคเฉ‡ เจ‡เจน เจธเจฟเจฐเจซเจผ เจธเจชเจฐเจฟเฉฐเจ— เจซเจฐเฉ‡เจฎเจตเจฐเจ• 4.1.4 เจฒเจˆ เจฒเจพเจ—เฉ‚ เจนเฉเฉฐเจฆเจพ เจœเจพเจชเจฆเจพ เจนเฉˆเฅค เจฆเฉ‡ 'เจคเฉ‡ เจ‡เฉฑเจ• เจจเจœเจผเจฐ เจฒเฉˆ เจ•เจฐเฉ€เจ เจนเจตเจพเจฒเจพ เจ…เจคเฉ‡ เจ‡เฉฑเจฅเฉ‡ เจธเจญ เจ•เฉเจ เจ˜เฉฑเจŸ เจœเจพเจ‚ เจ˜เฉฑเจŸ เจธเจชเฉฑเจธเจผเจŸ เจนเฉ‹ เจœเจพเจ‚เจฆเจพ เจนเฉˆเฅค เจคเฉ‹เจ‚ เจŸเฉ‡เจจเฉ‡เจฌเจฒ เจฒเฉ‡เจ– เจ…เจธเฉ€เจ‚ เจธเจฎเจเจฆเฉ‡ เจนเจพเจ‚ เจ•เจฟ เจตเจฟเฉฑเจš เจ•เจฎเจœเจผเฉ‹เจฐเฉ€ เจคเฉ‹เจ‚ เจ‡เจฒเจพเจตเจพ RemoteInvocationSerializingExporter CVE-2011-2894 เจตเจฟเฉฑเจš, เจ•เจฎเจœเจผเฉ‹เจฐเฉ€ เจฆเฉ‡เจ–เฉ€ เจ—เจˆ เจนเฉˆ HttpInvokerServiceExporter. เจ‡เจน เจ‰เจน เจนเฉˆ เจœเฉ‹ Nexus IQ เจธเจพเจจเฉ‚เฉฐ เจฆเฉฑเจธเจฆเจพ เจนเฉˆ:

DevSecOps: เจธเฉฐเจšเจพเจฒเจจ เจฆเฉ‡ เจธเจฟเจงเจพเจ‚เจค เจ…เจคเฉ‡ SCA เจฆเฉ€ เจคเฉเจฒเจจเจพเฅค เจญเจพเจ— เจ‡เฉฑเจ•

เจนเจพเจฒเจพเจ‚เจ•เจฟ, NVD เจตเจฟเฉฑเจš เจ…เจœเจฟเจนเจพ เจ•เฉเจ เจจเจนเฉ€เจ‚ เจนเฉˆ, เจœเจฟเจธ เจ•เจพเจฐเจจ เจจเจฟเจฐเจญเจฐเจคเจพ เจœเจพเจ‚เจš เจ…เจคเฉ‡ เจจเจฟเจฐเจญเจฐเจคเจพ เจŸเจฐเฉˆเจ• เจนเจฐเฉ‡เจ• เจจเฉ‚เฉฐ เจ—เจฒเจค เจจเจ•เจพเจฐเจพเจคเจฎเจ• เจชเฉเจฐเจพเจชเจค เจนเฉเฉฐเจฆเจพ เจนเฉˆเฅค

CVE-2011-2894 เจฆเฉ‡ เจตเจฐเจฃเจจ เจคเฉ‹เจ‚ เจตเฉ€ เจ‡เจน เจธเจฎเจเจฟเจ† เจœเจพ เจธเจ•เจฆเจพ เจนเฉˆ เจ•เจฟ เจ•เจฎเจœเจผเฉ‹เจฐเฉ€ เจ…เจธเจฒ เจตเจฟเฉฑเจš เจธเจชเจฐเจฟเฉฐเจ—-เจชเฉเจฐเจธเฉฐเจ—: 3.0.5 เจ…เจคเฉ‡ เจธเจชเจฐเจฟเฉฐเจ—-เจ•เฉ‹เจฐ: 3.0.5 เจฆเฉ‹เจตเจพเจ‚ เจตเจฟเฉฑเจš เจฎเฉŒเจœเฉ‚เจฆ เจนเฉˆเฅค เจ‡เจธ เจฆเฉ€ เจชเฉเจธเจผเจŸเฉ€ เจ‰เจธ เจตเจฟเจ…เจ•เจคเฉ€ เจฆเฉ‡ เจ‡เฉฑเจ• เจฒเฉ‡เจ– เจตเจฟเฉฑเจš เจชเจพเจˆ เจœเจพ เจธเจ•เจฆเฉ€ เจนเฉˆ เจœเจฟเจธ เจจเฉ‡ เจ‡เจน เจ•เจฎเจœเจผเฉ‹เจฐเฉ€ เจชเจพเจˆ เจนเฉˆเฅค

เจจเฉฐเจฌเจฐ XXX

เจญเจพเจ—
เจ•เจฎเจœเจผเฉ‹เจฐเฉ€
เจ‡เจธ เจฆเจพ เจจเจคเฉ€เจœเจพ

เจธเจŸเจฐเจŸเจธ2-เจ•เฉ‹เจฐ: 2.3.30
CVE-2016-4003
เจ—เจฒเจค

เจœเฉ‡เจ•เจฐ เจ…เจธเฉ€เจ‚ เจ•เจฎเจœเจผเฉ‹เจฐเฉ€ CVE-2016-4003 เจฆเจพ เจ…เจงเจฟเจเจจ เจ•เจฐเจฆเฉ‡ เจนเจพเจ‚, เจคเจพเจ‚ เจ…เจธเฉ€เจ‚ เจธเจฎเจเจพเจ‚เจ—เฉ‡ เจ•เจฟ เจ‡เจธเจจเฉ‚เฉฐ เจธเฉฐเจธเจ•เจฐเจฃ 2.3.28 เจตเจฟเฉฑเจš เจซเจฟเจ•เจธ เจ•เฉ€เจคเจพ เจ—เจฟเจ† เจธเฉ€, เจนเจพเจฒเจพเจ‚เจ•เจฟ, Nexus IQ เจธเจพเจจเฉ‚เฉฐ เจ‡เจธเจฆเฉ€ เจฐเจฟเจชเฉ‹เจฐเจŸ เจ•เจฐเจฆเจพ เจนเฉˆเฅค เจ•เจฎเจœเจผเฉ‹เจฐเฉ€ เจฆเฉ‡ เจตเจฐเจฃเจจ เจตเจฟเฉฑเจš เจ‡เฉฑเจ• เจจเฉ‹เจŸ เจนเฉˆ:

DevSecOps: เจธเฉฐเจšเจพเจฒเจจ เจฆเฉ‡ เจธเจฟเจงเจพเจ‚เจค เจ…เจคเฉ‡ SCA เจฆเฉ€ เจคเฉเจฒเจจเจพเฅค เจญเจพเจ— เจ‡เฉฑเจ•

เจญเจพเจต, เจ•เจฎเจœเจผเฉ‹เจฐเฉ€ เจธเจฟเจฐเจซ JRE เจฆเฉ‡ เจชเฉเจฐเจพเจฃเฉ‡ เจธเฉฐเจธเจ•เจฐเจฃ เจฆเฉ‡ เจจเจพเจฒ เจนเฉ€ เจฎเฉŒเจœเฉ‚เจฆ เจนเฉˆ, เจœเจฟเจธ เจฌเจพเจฐเฉ‡ เจ‰เจนเจจเจพเจ‚ เจจเฉ‡ เจธเจพเจจเฉ‚เฉฐ เจšเฉ‡เจคเจพเจตเจจเฉ€ เจฆเฉ‡เจฃ เจฆเจพ เจซเฉˆเจธเจฒเจพ เจ•เฉ€เจคเจพ เจนเฉˆเฅค เจซเจฟเจฐ เจตเฉ€, เจ…เจธเฉ€เจ‚ เจ‡เจธ เจจเฉ‚เฉฐ เจ—เจฒเจค เจธเจ•เจพเจฐเจพเจคเจฎเจ• เจฎเฉฐเจจเจฆเฉ‡ เจนเจพเจ‚, เจนเจพเจฒเจพเจ‚เจ•เจฟ เจธเจญ เจคเฉ‹เจ‚ เจฎเจพเฉœเจพ เจจเจนเฉ€เจ‚เฅค

3 XNUMX

เจญเจพเจ—
เจ•เจฎเจœเจผเฉ‹เจฐเฉ€
เจ‡เจธ เจฆเจพ เจจเจคเฉ€เจœเจพ

xwork-core:2.3.30
CVE-2017-9804
เจธเฉฑเจš,

xwork-core:2.3.30
CVE-2017-7672
เจ—เจฒเจค

เจœเฉ‡เจ•เจฐ เจ…เจธเฉ€เจ‚ CVE-2017-9804 เจ…เจคเฉ‡ CVE-2017-7672 เจฆเฉ‡ เจตเจฐเจฃเจจ เจจเฉ‚เฉฐ เจฆเฉ‡เจ–เจฆเฉ‡ เจนเจพเจ‚, เจคเจพเจ‚ เจ…เจธเฉ€เจ‚ เจธเจฎเจ เจธเจ•เจพเจ‚เจ—เฉ‡ เจ•เจฟ เจธเจฎเฉฑเจธเจฟเจ† URLValidator class, CVE-2017-9804 CVE-2017-7672 เจคเฉ‹เจ‚ เจชเฉˆเจฆเจพ เจนเฉ‹เจ‡เจ† เจนเฉˆเฅค เจฆเฉ‚เจœเฉ€ เจ•เจฎเจœเจผเฉ‹เจฐเฉ€ เจฆเฉ€ เจฎเฉŒเจœเฉ‚เจฆเจ—เฉ€ เจ‡เจธ เจคเฉฑเจฅ เจคเฉ‹เจ‚ เจ‡เจฒเจพเจตเจพ เจ•เฉ‹เจˆ เจตเฉ€ เจฒเจพเจญเจฆเจพเจ‡เจ• เจฒเฉ‹เจก เจจเจนเฉ€เจ‚ เจฒเฉˆเจ‚เจฆเฉ€ เจนเฉˆ เจ•เจฟ เจ‡เจธเจฆเฉ€ เจคเฉ€เจฌเจฐเจคเจพ เจตเฉฑเจง เจ—เจˆ เจนเฉˆ, เจ‡เจธเจฒเจˆ เจ…เจธเฉ€เจ‚ เจ‡เจธเจจเฉ‚เฉฐ เจฌเฉ‡เจฒเฉ‹เฉœเฉ€ เจฐเฉŒเจฒเจพ เจธเจฎเจ เจธเจ•เจฆเฉ‡ เจนเจพเจ‚เฅค

เจ•เฉเฉฑเจฒ เจฎเจฟเจฒเจพ เจ•เฉ‡, Nexus IQ เจฒเจˆ เจ•เฉ‹เจˆ เจนเฉ‹เจฐ เจเฉ‚เจ เฉ‡ เจธเจ•เจพเจฐเจพเจคเจฎเจ• เจจเจนเฉ€เจ‚ เจฎเจฟเจฒเฉ‡ เจนเจจเฅค

เจจเฉฐเจฌเจฐ XXX

เจ‡เฉฑเจฅเฉ‡ เจ•เจˆ เจšเฉ€เจœเจผเจพเจ‚ เจนเจจ เจœเฉ‹ เจ†เจˆเจ•เจฟเจŠ เจจเฉ‚เฉฐ เจฆเฉ‚เจœเฉ‡ เจนเฉฑเจฒเจพเจ‚ เจคเฉ‹เจ‚ เจตเฉฑเจ–เจฐเจพ เจฌเจฃเจพเจ‰เจ‚เจฆเฉ€เจ†เจ‚ เจนเจจเฅค

เจญเจพเจ—
เจ•เจฎเจœเจผเฉ‹เจฐเฉ€
เจ‡เจธ เจฆเจพ เจจเจคเฉ€เจœเจพ

spring-web:3.0.5
CVE-2020-5398
เจธเฉฑเจš,

NVD เจตเจฟเฉฑเจš CVE เจ•เจนเจฟเฉฐเจฆเจพ เจนเฉˆ เจ•เจฟ เจ‡เจน เจธเจฟเจฐเจซ 5.2 เจคเฉ‹เจ‚ เจชเจนเจฟเจฒเจพเจ‚ เจฆเฉ‡ 5.2.3.x, 5.1 เจคเฉ‹เจ‚ เจชเจนเจฟเจฒเจพเจ‚ 5.1.13.x, เจ…เจคเฉ‡ 5.0 เจคเฉ‹เจ‚ เจชเจนเจฟเจฒเจพเจ‚ เจฆเฉ‡ 5.0.16.x เจธเฉฐเจธเจ•เจฐเจฃเจพเจ‚ 'เจคเฉ‡ เจฒเจพเจ—เฉ‚ เจนเฉเฉฐเจฆเจพ เจนเฉˆ, เจนเจพเจฒเจพเจ‚เจ•เจฟ, เจœเฉ‡เจ•เจฐ เจ…เจธเฉ€เจ‚ Nexus IQ เจตเจฟเฉฑเจš CVE เจตเจฐเจฃเจจ เจจเฉ‚เฉฐ เจฆเฉ‡เจ–เจฆเฉ‡ เจนเจพเจ‚ , เจซเจฟเจฐ เจ…เจธเฉ€เจ‚ เจนเฉ‡เจ  เจฒเจฟเจ–เจฟเจ†เจ‚ เจจเฉ‚เฉฐ เจตเฉ‡เจ–เจพเจ‚เจ—เฉ‡:
เจเจกเจตเจพเจˆเจœเจผเจฐเฉ€ เจกเจฟเจตเฉ€เจเจธเจผเจจ เจจเฉ‹เจŸเจฟเจธ: เจธเฉ‹เจจเจพเจŸเจพเจˆเจช เจธเฉเจฐเฉฑเจ–เจฟเจ† เจ–เฉ‹เจœ เจŸเฉ€เจฎ เจจเฉ‡ เจ–เฉ‹เจœ เจ•เฉ€เจคเฉ€ เจ•เจฟ เจ‡เจน เจ•เจฎเจœเจผเฉ‹เจฐเฉ€ เจธเฉฐเจธเจ•เจฐเจฃ 3.0.2.RELEASE เจตเจฟเฉฑเจš เจชเฉ‡เจธเจผ เจ•เฉ€เจคเฉ€ เจ—เจˆ เจธเฉ€ เจจเจพ เจ•เจฟ 5.0.x เจœเจฟเจตเฉ‡เจ‚ เจ•เจฟ เจธเจฒเจพเจน เจตเจฟเฉฑเจš เจฆเฉฑเจธเจฟเจ† เจ—เจฟเจ† เจนเฉˆเฅค

เจ‡เจธ เจคเฉ‹เจ‚ เจฌเจพเจ…เจฆ เจ‡เจธ เจ•เจฎเจœเจผเฉ‹เจฐเฉ€ เจฒเจˆ เจ‡เฉฑเจ• PoC เจ†เจ‰เจ‚เจฆเจพ เจนเฉˆ, เจœเฉ‹ เจฆเฉฑเจธเจฆเจพ เจนเฉˆ เจ•เจฟ เจ‡เจน เจตเจฐเจœเจจ 3.0.5 เจตเจฟเฉฑเจš เจฎเฉŒเจœเฉ‚เจฆ เจนเฉˆเฅค

เจซเจฐเจœเจผเฉ€ เจจเจ•เจพเจฐเจพเจคเจฎเจ• เจจเจฟเจฐเจญเจฐเจคเจพ เจœเจพเจ‚เจš เจ…เจคเฉ‡ เจจเจฟเจฐเจญเจฐเจคเจพ เจŸเจฐเฉˆเจ• เจจเฉ‚เฉฐ เจญเฉ‡เจœเจฟเจ† เจœเจพเจ‚เจฆเจพ เจนเฉˆเฅค

เจจเฉฐเจฌเจฐ XXX

เจ†เจ‰ เจจเจฟเจฐเจญเจฐเจคเจพ เจœเจพเจ‚เจš เจ…เจคเฉ‡ เจจเจฟเจฐเจญเจฐเจคเจพ เจŸเจฐเฉˆเจ• เจฒเจˆ เจ—เจฒเจค เจธเจ•เจพเจฐเจพเจคเจฎเจ• เจจเฉ‚เฉฐ เจตเฉ‡เจ–เฉ€เจเฅค

เจจเจฟเจฐเจญเจฐเจคเจพ เจœเจพเจ‚เจš เจ‡เจธ เจตเจฟเฉฑเจš เจฌเจพเจนเจฐ เจ–เฉœเฉเจนเฉ€ เจนเฉˆ เจ•เจฟ เจ‡เจน เจ‰เจนเจจเจพเจ‚ CVEs เจจเฉ‚เฉฐ เจฆเจฐเจธเจพเจ‰เจ‚เจฆเฉ€ เจนเฉˆ เจœเฉ‹ NVD เจตเจฟเฉฑเจš เจ‰เจนเจจเจพเจ‚ เจญเจพเจ—เจพเจ‚ เจฒเจˆ เจชเฉ‚เจฐเฉ‡ เจซเจฐเฉ‡เจฎเจตเจฐเจ• เจตเจฟเฉฑเจš เจฒเจพเจ—เฉ‚ เจนเฉเฉฐเจฆเฉ‡ เจนเจจ เจœเจฟเจนเจจเจพเจ‚ เจ‰เฉฑเจคเฉ‡ เจ‡เจน CVE เจฒเจพเจ—เฉ‚ เจจเจนเฉ€เจ‚ เจนเฉเฉฐเจฆเฉ‡ เจนเจจเฅค เจ‡เจน CVE-2012-0394, CVE-2013-2115, CVE-2014-0114, CVE-2015-0899, CVE-2015-2992, CVE-2016-1181, CVE-2016-1182, CVE-1.3.8-1.3.8 เจฆเฉ€ เจœเจพเจ‚เจš เจจเจพเจฒ เจธเฉฐเจฌเฉฐเจงเจฟเจค เจนเฉˆ, โ€ เจคเฉ‹เจ‚ เจธเจŸเฉเจฐเจŸเจธ-เจŸเฉˆเจ—เจฒเจฟเจฌ:XNUMX เจ…เจคเฉ‡ เจธเจŸเจฐเจŸเจธ-เจŸเจพเจˆเจฒเจœเจผ-XNUMXเฅค เจ‡เจนเจจเจพเจ‚ เจญเจพเจ—เจพเจ‚ เจฆเจพ CVE เจตเจฟเฉฑเจš เจฆเจฐเจธเจพเจ เจ—เจ เจธเจผเจฌเจฆเจพเจ‚ เจจเจพเจฒ เจ•เฉ‹เจˆ เจฒเฉˆเจฃเจพ-เจฆเฉ‡เจฃเจพ เจจเจนเฉ€เจ‚ เจนเฉˆ - เจฌเฉ‡เจจเจคเฉ€ เจฆเฉ€ เจชเฉเจฐเจ•เจฟเจฐเจฟเจ†, เจชเฉฐเจจเจพ เจชเฉเจฐเจฎเจพเจฃเจฟเจ•เจคเจพ, เจ…เจคเฉ‡ เจนเฉ‹เจฐเฅค เจ‡เจน เจ‡เจธ เจคเฉฑเจฅ เจฆเฉ‡ เจ•เจพเจฐเจจ เจนเฉˆ เจ•เจฟ เจ‡เจนเจจเจพเจ‚ CVE เจ…เจคเฉ‡ เจ•เฉฐเจชเฉ‹เจจเฉˆเจ‚เจŸเจธ เจตเจฟเฉฑเจš เจœเฉ‹ เจธเจฎเจพเจจ เจนเฉˆ เจ‰เจน เจธเจฟเจฐเจซ เจซเจฐเฉ‡เจฎเจตเจฐเจ• เจนเฉˆ, เจ‡เจธเฉ‡ เจ•เจฐเจ•เฉ‡ เจจเจฟเจฐเจญเจฐเจคเจพ เจœเจพเจ‚เจš เจจเฉ‡ เจ‡เจธเจจเฉ‚เฉฐ เจ‡เฉฑเจ• เจ•เจฎเจœเจผเฉ‹เจฐเฉ€ เจฎเฉฐเจจเจฟเจ† เจนเฉˆเฅค

เจ‡เจนเฉ€ เจธเจฅเจฟเจคเฉ€ spring-tx:3.0.5 เจจเจพเจฒ เจนเฉˆ, เจ…เจคเฉ‡ เจธเจŸเจฐเจŸเจธ-เจ•เฉ‹เจฐ:1.3.8 เจจเจพเจฒ เจตเฉ€ เจ‡เจนเฉ‹ เจœเจฟเจนเฉ€ เจธเจฅเจฟเจคเฉ€ เจนเฉˆเฅค เจธเจŸเจฐเจŸเจธ-เจ•เฉ‹เจฐ เจฒเจˆ, เจจเจฟเจฐเจญเจฐเจคเจพ เจœเจพเจ‚เจš เจ…เจคเฉ‡ เจจเจฟเจฐเจญเจฐเจคเจพ เจŸเจฐเฉˆเจ• เจจเฉ‡ เจฌเจนเฉเจค เจธเจพเจฐเฉ€เจ†เจ‚ เจ•เจฎเจœเจผเฉ‹เจฐเฉ€เจ†เจ‚ เจฒเฉฑเจญเฉ€เจ†เจ‚ เจนเจจ เจœเฉ‹ เจ…เจธเจฒ เจตเจฟเฉฑเจš เจธเจŸเจฐเจŸเจธ2-เจ•เฉ‹เจฐ เจฒเจˆ เจฒเจพเจ—เฉ‚ เจนเฉเฉฐเจฆเฉ€เจ†เจ‚ เจนเจจ, เจœเฉ‹ เจ•เจฟ เจœเจผเจฐเฉ‚เจฐเฉ€ เจคเฉŒเจฐ 'เจคเฉ‡ เจ‡เฉฑเจ• เจตเฉฑเจ–เจฐเจพ เจซเจฐเฉ‡เจฎเจตเจฐเจ• เจนเฉˆเฅค เจ‡เจธ เจ•เฉ‡เจธ เจตเจฟเฉฑเจš, Nexus IQ เจธเจนเฉ€ เจขเฉฐเจ— เจจเจพเจฒ เจคเจธเจตเฉ€เจฐ เจจเฉ‚เฉฐ เจธเจฎเจเจฆเจพ เจนเฉˆ เจ…เจคเฉ‡ เจ‡เจธ เจฆเฉเจ†เจฐเจพ เจœเจพเจฐเฉ€ เจ•เฉ€เจคเฉ‡ เจ—เจ CVE เจตเจฟเฉฑเจš, เจ‡เจน เจธเฉฐเจ•เฉ‡เจค เจฆเจฟเฉฐเจฆเจพ เจนเฉˆ เจ•เจฟ เจธเจŸเจฐเจŸเจธ-เจ•เฉ‹เจฐ เจœเฉ€เจตเจจ เจฆเฉ‡ เจ…เฉฐเจค เจตเจฟเฉฑเจš เจชเจนเฉเฉฐเจš เจ—เจฟเจ† เจธเฉ€ เจ…เจคเฉ‡ เจธเจŸเจฐเจŸเจธ2-เจ•เฉ‹เจฐ เจตเจฟเฉฑเจš เจœเจพเจฃเจพ เจœเจผเจฐเฉ‚เจฐเฉ€ เจธเฉ€เฅค

เจจเฉฐเจฌเจฐ XXX

เจ•เฉเจ เจธเจฅเจฟเจคเฉ€เจ†เจ‚ เจตเจฟเฉฑเจš, เจ‡เฉฑเจ• เจธเจชเฉฑเจธเจผเจŸ เจจเจฟเจฐเจญเจฐเจคเจพ เจœเจพเจ‚เจš เจ…เจคเฉ‡ เจจเจฟเจฐเจญเจฐเจคเจพ เจŸเจฐเฉˆเจ• เจ—เจฒเจคเฉ€ เจฆเฉ€ เจตเจฟเจ†เจ–เจฟเจ† เจ•เจฐเจจเจพ เจ—เจฒเจค เจนเฉˆเฅค เจ–เจพเจธ เจคเฉŒเจฐ 'เจคเฉ‡ CVE-2013-4152, CVE-2013-6429, CVE-2013-6430, CVE-2013-7315, CVE-2014-0054, CVE-2014-0225, CVE-2014-0225, CVE-3.0.5, เจŸเฉเจฐเฉˆเจ• 3.0.5-XNUMX เจ…เจคเฉ‡ เจกเฉ€.เจชเฉ€. เจธเจชเจฐเจฟเฉฐเจ—-เจ•เฉ‹เจฐ: XNUMX เจจเจพเจฒ เจธเฉฐเจฌเฉฐเจงเจฟเจค เจ…เจธเจฒ เจตเจฟเฉฑเจš เจธเจชเจฐเจฟเฉฐเจ—-เจตเฉˆเจฌ: XNUMX เจจเจพเจฒ เจธเจฌเฉฐเจงเจค เจนเฉˆเฅค เจ‰เจธเฉ‡ เจธเจฎเฉ‡เจ‚, เจ‡เจนเจจเจพเจ‚ เจตเจฟเฉฑเจšเฉ‹เจ‚ เจ•เฉเจ CVEs Nexus IQ เจฆเฉเจ†เจฐเจพ เจตเฉ€ เจฒเฉฑเจญเฉ‡ เจ—เจ เจธเจจ, เจนเจพเจฒเจพเจ‚เจ•เจฟ, IQ เจจเฉ‡ เจ‰เจนเจจเจพเจ‚ เจจเฉ‚เฉฐ เจ•เจฟเจธเฉ‡ เจนเฉ‹เจฐ เจนเจฟเฉฑเจธเฉ‡ เจฒเจˆ เจธเจนเฉ€ เจขเฉฐเจ— เจจเจพเจฒ เจชเจ›เจพเจฃเจฟเจ†เฅค เจ•เจฟเจ‰เจ‚เจ•เจฟ เจ‡เจน เจ•เจฎเจœเจผเฉ‹เจฐเฉ€เจ†เจ‚ เจธเจชเจฐเจฟเฉฐเจ—-เจ•เฉ‹เจฐ เจตเจฟเฉฑเจš เจจเจนเฉ€เจ‚ เจฒเฉฑเจญเฉ€เจ†เจ‚ เจ—เจˆเจ†เจ‚ เจธเจจ, เจ‡เจธ เจฒเจˆ เจ‡เจน เจฆเจฒเฉ€เจฒ เจจเจนเฉ€เจ‚ เจฆเจฟเฉฑเจคเฉ€ เจœเจพ เจธเจ•เจฆเฉ€ เจนเฉˆ เจ•เจฟ เจ‰เจน เจธเจฟเจงเจพเจ‚เจคเจ• เจฐเฉ‚เจช เจตเจฟเฉฑเจš เจขเจพเจ‚เจšเฉ‡ เจตเจฟเฉฑเจš เจจเจนเฉ€เจ‚ เจนเจจ เจ…เจคเฉ‡ เจ“เจชเจจ เจธเฉ‹เจฐเจธ เจŸเฉ‚เจฒเจธ เจจเฉ‡ เจ‡เจนเจจเจพเจ‚ เจ•เจฎเจœเจผเฉ‹เจฐเฉ€เจ†เจ‚ เจจเฉ‚เฉฐ เจธเจนเฉ€ เจขเฉฐเจ— เจจเจพเจฒ เจฆเจฐเจธเจพเจ‡เจ† เจนเฉˆ (เจ‰เจน เจฅเฉ‹เฉœเจพ เจœเจฟเจนเจพ เจ–เฉเฉฐเจ เจ—เจ เจนเจจ)เฅค

เจธเจฟเฉฑเจŸเจพ

เจœเจฟเจตเฉ‡เจ‚ เจ•เจฟ เจ…เจธเฉ€เจ‚ เจฆเฉ‡เจ– เจธเจ•เจฆเฉ‡ เจนเจพเจ‚, เจฆเจธเจคเฉ€ เจธเจฎเฉ€เจ–เจฟเจ† เจฆเฉเจ†เจฐเจพ เจชเจ›เจพเจฃเฉ€เจ†เจ‚ เจ—เจˆเจ†เจ‚ เจ•เจฎเจœเจผเฉ‹เจฐเฉ€เจ†เจ‚ เจฆเฉ€ เจญเจฐเฉ‹เจธเฉ‡เจฏเฉ‹เจ—เจคเจพ เจจเฉ‚เฉฐ เจจเจฟเจฐเจงเจพเจฐเจค เจ•เจฐเจจเจพ เจ…เจธเจชเจธเจผเจŸ เจจเจคเฉ€เจœเฉ‡ เจจเจนเฉ€เจ‚ เจฆเจฟเฉฐเจฆเจพ เจนเฉˆ, เจœเจฟเจธ เจ•เจพเจฐเจจ เจตเจฟเจตเจพเจฆเจชเฉ‚เจฐเจจ เจฎเฉเฉฑเจฆเฉ‡ เจชเฉˆเจฆเจพ เจนเฉเฉฐเจฆเฉ‡ เจนเจจเฅค เจจเจคเฉ€เจœเฉ‡ เจ‡เจน เจนเจจ เจ•เจฟ Nexus IQ เจนเฉฑเจฒ เจตเจฟเฉฑเจš เจธเจญ เจคเฉ‹เจ‚ เจ˜เฉฑเจŸ เจ—เจฒเจค เจธเจ•เจพเจฐเจพเจคเจฎเจ• เจฆเจฐ เจ…เจคเฉ‡ เจธเจญ เจคเฉ‹เจ‚ เจตเฉฑเจง เจธเจผเฉเฉฑเจงเจคเจพ เจนเฉˆเฅค

เจธเจญ เจคเฉ‹เจ‚ เจชเจนเจฟเจฒเจพเจ‚, เจ‡เจน เจ‡เจธ เจคเฉฑเจฅ เจฆเฉ‡ เจ•เจพเจฐเจจ เจนเฉˆ เจ•เจฟ เจธเฉ‹เจจเจพเจŸเจพเจˆเจช เจŸเฉ€เจฎ เจจเฉ‡ เจ†เจชเจฃเฉ‡ เจกเฉ‡เจŸเจพเจฌเฉ‡เจธ เจตเจฟเฉฑเจš NVD เจคเฉ‹เจ‚ เจนเจฐเฉ‡เจ• CVE เจ•เจฎเจœเจผเฉ‹เจฐเฉ€ เจฒเจˆ เจตเจฐเจฃเจจ เจฆเจพ เจตเจฟเจธเจคเจพเจฐ เจ•เฉ€เจคเจพ เจนเฉˆ, เจœเฉ‹ เจ•เจฟ เจ•เจฒเจพเจธ เจœเจพเจ‚ เจซเฉฐเจ•เจธเจผเจจ เจฆเฉ‡ เจญเจพเจ—เจพเจ‚ เจฆเฉ‡ เจ•เจฟเจธเฉ‡ เจ–เจพเจธ เจธเฉฐเจธเจ•เจฐเจฃ เจฒเจˆ เจ•เจฎเจœเจผเฉ‹เจฐเฉ€เจ†เจ‚ เจจเฉ‚เฉฐ เจฆเจฐเจธเจพเจ‰เจ‚เจฆเจพ เจนเฉˆ, เจตเจพเจงเฉ‚ เจ–เฉ‹เจœ (เจ‰เจฆเจพเจนเจฐเจจ เจฒเจˆ) , เจชเฉเจฐเจพเจฃเฉ‡ เจธเจพเจซเจŸเจตเฉ‡เจ…เจฐ เจธเฉฐเจธเจ•เจฐเจฃเจพเจ‚ 'เจคเฉ‡ เจ•เจฎเจœเจผเฉ‹เจฐเฉ€เจ†เจ‚ เจฆเฉ€ เจœเจพเจ‚เจš เจ•เจฐเจจเจพ)เฅค

เจจเจคเฉ€เจœเจฟเจ†เจ‚ 'เจคเฉ‡ เจ‡เฉฑเจ• เจฎเจนเฉฑเจคเจตเจชเฉ‚เจฐเจฃ เจชเฉเจฐเจญเจพเจต เจ‰เจนเจจเจพเจ‚ เจ•เจฎเจœเจผเฉ‹เจฐเฉ€เจ†เจ‚ เจฆเฉเจ†เจฐเจพ เจตเฉ€ เจ–เฉ‡เจกเจฟเจ† เจœเจพเจ‚เจฆเจพ เจนเฉˆ เจœเฉ‹ NVD เจตเจฟเฉฑเจš เจธเจผเจพเจฎเจฒ เจจเจนเฉ€เจ‚ เจธเจจ, เจชเจฐ เจซเจฟเจฐ เจตเฉ€ เจธเฉ‹เจจเจพเจŸเจพเจˆเจช เจฎเจพเจฐเจ• เจฆเฉ‡ เจจเจพเจฒ เจธเฉ‹เจจเจพเจŸเจพเจˆเจช เจกเฉ‡เจŸเจพเจฌเฉ‡เจธ เจตเจฟเฉฑเจš เจฎเฉŒเจœเฉ‚เจฆ เจนเจจเฅค เจฐเจฟเจชเฉ‹เจฐเจŸ เจฆเฉ‡ เจ…เจจเฉเจธเจพเจฐ เจ“เจชเจจ เจธเฉ‹เจฐเจธ เจธเฉเจฐเฉฑเจ–เจฟเจ† เจ•เจฎเจœเจผเฉ‹เจฐเฉ€ 2020 เจฆเฉ€ เจธเจฅเจฟเจคเฉ€ เจ–เฉ‹เจœเฉ€เจ†เจ‚ เจ—เจˆเจ†เจ‚ 45% เจ“เจชเจจ เจธเฉ‹เจฐเจธ เจ•เจฎเจœเจผเฉ‹เจฐเฉ€เจ†เจ‚ เจฆเฉ€ NVD เจจเฉ‚เฉฐ เจฐเจฟเจชเฉ‹เจฐเจŸ เจจเจนเฉ€เจ‚ เจ•เฉ€เจคเฉ€ เจ—เจˆ เจนเฉˆเฅค เจตเฉเจนเจพเจˆเจŸเจธเฉ‹เจฐเจธ เจกเฉ‡เจŸเจพเจฌเฉ‡เจธ เจฆเฉ‡ เจ…เจจเฉเจธเจพเจฐ, NVD เจคเฉ‹เจ‚ เจฌเจพเจนเจฐ เจฐเจฟเจชเฉ‹เจฐเจŸ เจ•เฉ€เจคเฉ€เจ†เจ‚ เจ—เจˆเจ†เจ‚ เจธเจพเจฐเฉ€เจ†เจ‚ เจ“เจชเจจ เจธเฉ‹เจฐเจธ เจ•เจฎเจœเจผเฉ‹เจฐเฉ€เจ†เจ‚ เจตเจฟเฉฑเจšเฉ‹เจ‚ เจธเจฟเจฐเจซ 29% เจ‰เฉฑเจฅเฉ‡ เจชเฉเจฐเจ•เจพเจธเจผเจฟเจค เจนเฉเฉฐเจฆเฉ€เจ†เจ‚ เจนเจจ, เจ‡เจธ เจฒเจˆ เจนเฉ‹เจฐ เจธเจฐเฉ‹เจคเจพเจ‚ เจตเจฟเฉฑเจš เจตเฉ€ เจ•เจฎเจœเจผเฉ‹เจฐเฉ€เจ†เจ‚ เจฆเฉ€ เจญเจพเจฒ เจ•เจฐเจจเจพ เจฎเจนเฉฑเจคเจตเจชเฉ‚เจฐเจจ เจนเฉˆเฅค

เจจเจคเฉ€เจœเฉ‡ เจตเจœเฉ‹เจ‚, เจจเจฟเจฐเจญเจฐเจคเจพ เจœเจพเจ‚เจš เจฌเจนเฉเจค เจœเจผเจฟเจ†เจฆเจพ เจธเจผเฉ‹เจฐ เจชเฉˆเจฆเจพ เจ•เจฐเจฆเฉ€ เจนเฉˆ, เจœเจฟเจธ เจตเจฟเฉฑเจš เจ•เฉเจ เจ•เจฎเจœเจผเฉ‹เจฐ เจนเจฟเฉฑเจธเฉ‡ เจ—เฉเฉฐเจฎ เจนเฉเฉฐเจฆเฉ‡ เจนเจจเฅค เจจเจฟเจฐเจญเจฐเจคเจพ เจŸเจฐเฉˆเจ• เจ˜เฉฑเจŸ เจธเจผเฉ‹เจฐ เจชเฉˆเจฆเจพ เจ•เจฐเจฆเจพ เจนเฉˆ เจ…เจคเฉ‡ เจตเฉฑเจกเฉ€ เจ—เจฟเจฃเจคเฉ€ เจตเจฟเฉฑเจš เจญเจพเจ—เจพเจ‚ เจฆเจพ เจชเจคเจพ เจฒเจ—เจพเจ‰เจ‚เจฆเจพ เจนเฉˆ, เจœเฉ‹ เจตเฉˆเจฌ เจ‡เฉฐเจŸเจฐเจซเฉ‡เจธ เจตเจฟเฉฑเจš เจ…เฉฑเจ–เจพเจ‚ เจจเฉ‚เฉฐ เจจเฉ‡เจคเจฐเจนเฉ€เจฃ เจคเฉŒเจฐ 'เจคเฉ‡ เจจเฉเจ•เจธเจพเจจ เจจเจนเฉ€เจ‚ เจชเจนเฉเฉฐเจšเจพเจ‰เจ‚เจฆเจพเฅค

เจนเจพเจฒเจพเจ‚เจ•เจฟ, เจ…เจญเจฟเจ†เจธ เจฆเจฟเจ–เจพเจ‰เจ‚เจฆเจพ เจนเฉˆ เจ•เจฟ เจ“เจชเจจ เจธเฉ‹เจฐเจธ เจจเฉ‚เฉฐ เจชเจฐเจฟเจชเฉฑเจ• DevSecOps เจตเฉฑเจฒ เจชเจนเจฟเจฒเจพ เจ•เจฆเจฎ เจฌเจฃเจจเจพ เจšเจพเจนเฉ€เจฆเจพ เจนเฉˆเฅค SCA เจจเฉ‚เฉฐ เจตเจฟเจ•เจพเจธ เจตเจฟเฉฑเจš เจเจ•เฉ€เจ•เฉเจฐเจฟเจค เจ•เจฐเจจ เจตเฉ‡เจฒเฉ‡ เจคเฉเจนเจพเจจเฉ‚เฉฐ เจธเจญ เจคเฉ‹เจ‚ เจชเจนเจฟเจฒเจพเจ‚ เจœเจฟเจธ เจฌเจพเจฐเฉ‡ เจธเฉ‹เจšเจฃเจพ เจšเจพเจนเฉ€เจฆเจพ เจนเฉˆ เจ‰เจน เจนเฉˆ เจชเฉเจฐเจ•เจฟเจฐเจฟเจ†เจตเจพเจ‚, เจ…เจฐเจฅเจพเจค, เจชเฉเจฐเจฌเฉฐเจงเจจ เจ…เจคเฉ‡ เจธเฉฐเจฌเฉฐเจงเจฟเจค เจตเจฟเจญเจพเจ—เจพเจ‚ เจจเจพเจฒ เจฎเจฟเจฒ เจ•เฉ‡ เจ‡เจธ เจฌเจพเจฐเฉ‡ เจธเฉ‹เจšเจฃเจพ เจ•เจฟ เจคเฉเจนเจพเจกเฉ€ เจธเฉฐเจธเจฅเจพ เจตเจฟเฉฑเจš เจ†เจฆเจฐเจธเจผ เจชเฉเจฐเจ•เจฟเจฐเจฟเจ†เจตเจพเจ‚ เจ•เจฟเจนเฉ‹ เจœเจฟเจนเฉ€เจ†เจ‚ เจนเฉ‹เจฃเฉ€เจ†เจ‚ เจšเจพเจนเฉ€เจฆเฉ€เจ†เจ‚ เจนเจจเฅค เจ‡เจน เจธเจพเจนเจฎเจฃเฉ‡ เจ† เจธเจ•เจฆเจพ เจนเฉˆ เจ•เจฟ เจคเฉเจนเจพเจกเฉ€ เจธเฉฐเจธเจฅเจพ เจฒเจˆ, เจชเจนเจฟเจฒเจพเจ‚, เจจเจฟเจฐเจญเจฐเจคเจพ เจœเจพเจ‚เจš เจœเจพเจ‚ เจจเจฟเจฐเจญเจฐเจคเจพ เจŸเจฐเฉˆเจ• เจธเจพเจฐเฉ€เจ†เจ‚ เจตเจชเจพเจฐเจ• เจœเจผเจฐเฉ‚เจฐเจคเจพเจ‚ เจจเฉ‚เฉฐ เจ•เจตเจฐ เจ•เจฐเฉ‡เจ—เจพ, เจ…เจคเฉ‡ เจตเจฟเจ•เจธเจค เจ•เฉ€เจคเฉ‡ เจœเจพ เจฐเจนเฉ‡ เจเจชเจฒเฉ€เจ•เฉ‡เจธเจผเจจเจพเจ‚ เจฆเฉ€ เจตเจงเจฆเฉ€ เจ—เฉเฉฐเจเจฒเจคเจพ เจฆเฉ‡ เจ•เจพเจฐเจจ เจเจ‚เจŸเจฐเจชเฉเจฐเจพเจˆเจœเจผ เจนเฉฑเจฒ เจ‡เฉฑเจ• เจคเจฐเจ•เจชเฉ‚เจฐเจจ เจจเจฟเจฐเฉฐเจคเจฐเจคเจพ เจนเฉ‹เจฃเจ—เฉ‡เฅค

เจ…เฉฐเจคเจฟเจ•เจพ A: เจ•เฉฐเจชเฉ‹เจจเฉˆเจ‚เจŸ เจจเจคเฉ€เจœเฉ‡
เจฆเฉฐเจคเจ•เจฅเจพ:

  • เจ•เฉฐเจชเฉ‹เจจเฉˆเจ‚เจŸ เจตเจฟเฉฑเจš เจ‰เฉฑเจš-เจ‰เฉฑเจš เจ…เจคเฉ‡ เจจเจพเจœเจผเฉเจ• เจชเฉฑเจงเจฐ เจฆเฉ€เจ†เจ‚ เจ•เจฎเจœเจผเฉ‹เจฐเฉ€เจ†เจ‚
  • เจฎเฉฑเจงเจฎ โ€” เจ•เฉฐเจชเฉ‹เจจเฉˆเจ‚เจŸ เจตเจฟเฉฑเจš เจฎเฉฑเจงเจฎ เจ—เฉฐเจญเฉ€เจฐเจคเจพ เจชเฉฑเจงเจฐ เจฆเฉ€เจ†เจ‚ เจ•เจฎเจœเจผเฉ‹เจฐเฉ€เจ†เจ‚
  • เจธเฉฑเจšเจพ - เจธเฉฑเจšเจพ เจธเจ•เจพเจฐเจพเจคเจฎเจ• เจฎเฉเฉฑเจฆเจพ
  • FALSE โ€” เจ—เจฒเจค เจธเจ•เจพเจฐเจพเจคเจฎเจ• เจฎเฉเฉฑเจฆเจพ

เจญเจพเจ—
Nexus IQ
เจจเจฟเจฐเจญเจฐเจคเจพ เจœเจพเจ‚เจš
เจจเจฟเจฐเจญเจฐเจคเจพ เจŸเจฐเฉˆเจ•
เจ‡เจธ เจฆเจพ เจจเจคเฉ€เจœเจพ

dom4j: 1.6.1
เจนเจพเจˆ
เจนเจพเจˆ
เจนเจพเจˆ
เจธเฉฑเจš,

log4j-core: 2.3
เจนเจพเจˆ
เจนเจพเจˆ
เจนเจพเจˆ
เจธเฉฑเจš,

log4j: 1.2.14
เจนเจพเจˆ
เจนเจพเจˆ
-
เจธเฉฑเจš,

เจ†เจฎ-เจธเฉฐเจ—เฉเจฐเจนเจฟ: 3.1
เจนเจพเจˆ
เจนเจพเจˆ
เจนเจพเจˆ
เจธเฉฑเจš,

commons-fileupload:1.3.2
เจนเจพเจˆ
เจนเจพเจˆ
เจนเจพเจˆ
เจธเฉฑเจš,

commons-beanutils: 1.7.0
เจนเจพเจˆ
เจนเจพเจˆ
เจนเจพเจˆ
เจธเฉฑเจš,

commons-codec:1:10
เจฆเจฐเจฎเจฟเจ†เจจเฉ‡
-
-
เจธเฉฑเจš,

mysql-connector-java:5.1.42
เจนเจพเจˆ
เจนเจพเจˆ
เจนเจพเจˆ
เจธเฉฑเจš,

เจฌเจธเฉฐเจค-เจชเฉเจฐเจ—เจŸเจพเจตเฉ‡: 3.0.5
เจนเจพเจˆ
เจ•เฉฐเจชเฉ‹เจจเฉˆเจ‚เจŸ เจจเจนเฉ€เจ‚ เจฎเจฟเจฒเจฟเจ†

เจธเฉฑเจš,

spring-web:3.0.5
เจนเจพเจˆ
เจ•เฉฐเจชเฉ‹เจจเฉˆเจ‚เจŸ เจจเจนเฉ€เจ‚ เจฎเจฟเจฒเจฟเจ†
เจนเจพเจˆ
เจธเฉฑเจš,

เจฌเจธเฉฐเจค-เจชเฉเจฐเจธเฉฐเจ—: 3.0.5
เจฆเจฐเจฎเจฟเจ†เจจเฉ‡
เจ•เฉฐเจชเฉ‹เจจเฉˆเจ‚เจŸ เจจเจนเฉ€เจ‚ เจฎเจฟเจฒเจฟเจ†
-
เจธเฉฑเจš,

เจธเจชเจฐเจฟเฉฐเจ—-เจ•เฉ‹เจฐ: 3.0.5
เจฆเจฐเจฎเจฟเจ†เจจเฉ‡
เจนเจพเจˆ
เจนเจพเจˆ
เจธเฉฑเจš,

struts2-config-browser-plugin:2.3.30
เจฆเจฐเจฎเจฟเจ†เจจเฉ‡
-
-
เจธเฉฑเจš,

spring-tx:3.0.5
-
เจนเจพเจˆ
-
เจ—เจฒเจค

เจธเจŸเจฐเจŸเจธ-เจ•เฉ‹เจฐ: 1.3.8
เจนเจพเจˆ
เจนเจพเจˆ
เจนเจพเจˆ
เจธเฉฑเจš,

xwork-core: 2.3.30
เจนเจพเจˆ
-
-
เจธเฉฑเจš,

struts2-core: 2.3.30
เจนเจพเจˆ
เจนเจพเจˆ
เจนเจพเจˆ
เจธเฉฑเจš,

เจธเจŸเจฐเจŸเจธ-เจŸเฉˆเจ—เจฒเจฟเจฌ: 1.3.8
-
เจนเจพเจˆ
-
เจ—เจฒเจค

struts-tiles-1.3.8
-
เจนเจพเจˆ
-
เจ—เจฒเจค

เจ…เฉฐเจคเจฟเจ•เจพ B: เจ•เจฎเจœเจผเฉ‹เจฐเฉ€ เจฆเฉ‡ เจจเจคเฉ€เจœเฉ‡
เจฆเฉฐเจคเจ•เจฅเจพ:

  • เจ•เฉฐเจชเฉ‹เจจเฉˆเจ‚เจŸ เจตเจฟเฉฑเจš เจ‰เฉฑเจš-เจ‰เฉฑเจš เจ…เจคเฉ‡ เจจเจพเจœเจผเฉเจ• เจชเฉฑเจงเจฐ เจฆเฉ€เจ†เจ‚ เจ•เจฎเจœเจผเฉ‹เจฐเฉ€เจ†เจ‚
  • เจฎเฉฑเจงเจฎ โ€” เจ•เฉฐเจชเฉ‹เจจเฉˆเจ‚เจŸ เจตเจฟเฉฑเจš เจฎเฉฑเจงเจฎ เจ—เฉฐเจญเฉ€เจฐเจคเจพ เจชเฉฑเจงเจฐ เจฆเฉ€เจ†เจ‚ เจ•เจฎเจœเจผเฉ‹เจฐเฉ€เจ†เจ‚
  • เจธเฉฑเจšเจพ - เจธเฉฑเจšเจพ เจธเจ•เจพเจฐเจพเจคเจฎเจ• เจฎเฉเฉฑเจฆเจพ
  • FALSE โ€” เจ—เจฒเจค เจธเจ•เจพเจฐเจพเจคเจฎเจ• เจฎเฉเฉฑเจฆเจพ

เจญเจพเจ—
Nexus IQ
เจจเจฟเจฐเจญเจฐเจคเจพ เจœเจพเจ‚เจš
เจจเจฟเจฐเจญเจฐเจคเจพ เจŸเจฐเฉˆเจ•
เจคเฉ€เจฌเจฐเจคเจพ
เจ‡เจธ เจฆเจพ เจจเจคเฉ€เจœเจพ
เจŸเจฟเฉฑเจชเจฃเฉ€

dom4j: 1.6.1
CVE-2018-1000632
CVE-2018-1000632
CVE-2018-1000632
เจนเจพเจˆ
เจธเฉฑเจš,

CVE-2020-10683
CVE-2020-10683
CVE-2020-10683
เจนเจพเจˆ
เจธเฉฑเจš,

log4j-core: 2.3
CVE-2017-5645
CVE-2017-5645
CVE-2017-5645
เจนเจพเจˆ
เจธเฉฑเจš,

CVE-2020-9488
CVE-2020-9488
CVE-2020-9488
เจ–เฉ‹เจœเฉ‹ wego.co.in
เจธเฉฑเจš,

log4j: 1.2.14
CVE-2019-17571
CVE-2019-17571
-
เจนเจพเจˆ
เจธเฉฑเจš,

-
CVE-2020-9488
-
เจ–เฉ‹เจœเฉ‹ wego.co.in
เจธเฉฑเจš,

SONATYPE-2010-0053
-
-
เจนเจพเจˆ
เจธเฉฑเจš,

เจ†เจฎ-เจธเฉฐเจ—เฉเจฐเจนเจฟ: 3.1
-
CVE-2015-6420
CVE-2015-6420
เจนเจพเจˆ
เจ—เจฒเจค
เจกเฉเจชเจฒเฉ€เจ•เฉ‡เจŸ RCE(OSSINDEX)

-
CVE-2017-15708
CVE-2017-15708
เจนเจพเจˆ
เจ—เจฒเจค
เจกเฉเจชเจฒเฉ€เจ•เฉ‡เจŸ RCE(OSSINDEX)

SONATYPE-2015-0002
RCE (OSSINDEX)
RCE(OSSINDEX)
เจนเจพเจˆ
เจธเฉฑเจš,

commons-fileupload:1.3.2
CVE-2016-1000031
CVE-2016-1000031
CVE-2016-1000031
เจนเจพเจˆ
เจธเฉฑเจš,

SONATYPE-2014-0173
-
-
เจฆเจฐเจฎเจฟเจ†เจจเฉ‡
เจธเฉฑเจš,

commons-beanutils: 1.7.0
CVE-2014-0114
CVE-2014-0114
CVE-2014-0114
เจนเจพเจˆ
เจธเฉฑเจš,

-
CVE-2019-10086
CVE-2019-10086
เจนเจพเจˆ
เจ—เจฒเจค
เจ•เจฎเจœเจผเฉ‹เจฐเฉ€ เจธเจฟเจฐเจซเจผ เจตเจฐเจœเจจ 1.9.2+ 'เจคเฉ‡ เจฒเจพเจ—เฉ‚ เจนเฉเฉฐเจฆเฉ€ เจนเฉˆ

commons-codec:1:10
SONATYPE-2012-0050
-
-
เจฆเจฐเจฎเจฟเจ†เจจเฉ‡
เจธเฉฑเจš,

mysql-connector-java:5.1.42
CVE-2018-3258
CVE-2018-3258
CVE-2018-3258
เจนเจพเจˆ
เจธเฉฑเจš,

CVE-2019-2692
CVE-2019-2692
-
เจฆเจฐเจฎเจฟเจ†เจจเฉ‡
เจธเฉฑเจš,

-
CVE-2020-2875
-
เจฆเจฐเจฎเจฟเจ†เจจเฉ‡
เจ—เจฒเจค
CVE-2019-2692 เจตเจฐเจ—เฉ€ เจนเฉ€ เจ•เจฎเจœเจผเฉ‹เจฐเฉ€, เจชเจฐ เจจเฉ‹เจŸ เจฆเฉ‡ เจจเจพเจฒ "เจนเจฎเจฒเฉ‡ เจตเจพเจงเฉ‚ เจ‰เจคเจชเจพเจฆเจพเจ‚ เจจเฉ‚เฉฐ เจฎเจนเฉฑเจคเจตเจชเฉ‚เจฐเจฃ เจฐเฉ‚เจช เจตเจฟเฉฑเจš เจชเฉเจฐเจญเจพเจตเจฟเจค เจ•เจฐ เจธเจ•เจฆเฉ‡ เจนเจจ"

-
CVE-2017-15945
-
เจนเจพเจˆ
เจ—เจฒเจค
mysql-connector-java เจจเจพเจฒ เจธเฉฐเจฌเฉฐเจงเจฟเจค เจจเจนเฉ€เจ‚ เจนเฉˆ

-
CVE-2020-2933
-
เจ–เฉ‹เจœเฉ‹ wego.co.in
เจ—เจฒเจค
CVE-2020-2934 เจฆเจพ เจกเฉเจชเจฒเฉ€เจ•เฉ‡เจŸ

CVE-2020-2934
CVE-2020-2934
-
เจฆเจฐเจฎเจฟเจ†เจจเฉ‡
เจธเฉฑเจš,

เจฌเจธเฉฐเจค-เจชเฉเจฐเจ—เจŸเจพเจตเฉ‡: 3.0.5
CVE-2018-1270
เจ•เฉฐเจชเฉ‹เจจเฉˆเจ‚เจŸ เจจเจนเฉ€เจ‚ เจฎเจฟเจฒเจฟเจ†
-
เจนเจพเจˆ
เจธเฉฑเจš,

CVE-2018-1257
-
-
เจฆเจฐเจฎเจฟเจ†เจจเฉ‡
เจธเฉฑเจš,

spring-web:3.0.5
CVE-2016-1000027
เจ•เฉฐเจชเฉ‹เจจเฉˆเจ‚เจŸ เจจเจนเฉ€เจ‚ เจฎเจฟเจฒเจฟเจ†
-
เจนเจพเจˆ
เจธเฉฑเจš,

CVE-2014-0225
-
CVE-2014-0225
เจนเจพเจˆ
เจธเฉฑเจš,

CVE-2011-2730
-
-
เจนเจพเจˆ
เจธเฉฑเจš,

-
-
CVE-2013-4152
เจฆเจฐเจฎเจฟเจ†เจจเฉ‡
เจธเฉฑเจš,

CVE-2018-1272
-
-
เจนเจพเจˆ
เจธเฉฑเจš,

CVE-2020-5398
-
-
เจนเจพเจˆ
เจธเฉฑเจš,
IQ เจฆเฉ‡ เจนเฉฑเจ• เจตเจฟเฉฑเจš เจ‡เฉฑเจ• เจฎเจฟเจธเจพเจฒเฉ€ เจ‰เจฆเจพเจนเจฐเจฃ: "เจธเฉ‹เจจเจพเจŸเจพเจˆเจช เจธเฉเจฐเฉฑเจ–เจฟเจ† เจ–เฉ‹เจœ เจŸเฉ€เจฎ เจจเฉ‡ เจ–เฉ‹เจœ เจ•เฉ€เจคเฉ€ เจ•เจฟ เจ‡เจน เจ•เจฎเจœเจผเฉ‹เจฐเฉ€ เจธเฉฐเจธเจ•เจฐเจฃ 3.0.2. เจฐเฉ€เจฒเฉ€เจœเจผ เจตเจฟเฉฑเจš เจชเฉ‡เจธเจผ เจ•เฉ€เจคเฉ€ เจ—เจˆ เจธเฉ€ เจจเจพ เจ•เจฟ 5.0.x เจœเจฟเจตเฉ‡เจ‚ เจ•เจฟ เจธเจฒเจพเจนเจ•เจพเจฐ เจตเจฟเฉฑเจš เจฆเฉฑเจธเจฟเจ† เจ—เจฟเจ† เจนเฉˆเฅค"

CVE-2013-6429
-
-
เจฆเจฐเจฎเจฟเจ†เจจเฉ‡
เจธเฉฑเจš,

CVE-2014-0054
-
CVE-2014-0054
เจฆเจฐเจฎเจฟเจ†เจจเฉ‡
เจธเฉฑเจš,

CVE-2013-6430
-
-
เจฆเจฐเจฎเจฟเจ†เจจเฉ‡
เจธเฉฑเจš,

เจฌเจธเฉฐเจค-เจชเฉเจฐเจธเฉฐเจ—: 3.0.5
CVE-2011-2894
เจ•เฉฐเจชเฉ‹เจจเฉˆเจ‚เจŸ เจจเจนเฉ€เจ‚ เจฎเจฟเจฒเจฟเจ†
-
เจฆเจฐเจฎเจฟเจ†เจจเฉ‡
เจธเฉฑเจš,

เจธเจชเจฐเจฟเฉฐเจ—-เจ•เฉ‹เจฐ: 3.0.5
-
CVE-2011-2730
CVE-2011-2730
เจนเจพเจˆ
เจธเฉฑเจš,

CVE-2011-2894
CVE-2011-2894
CVE-2011-2894
เจฆเจฐเจฎเจฟเจ†เจจเฉ‡
เจธเฉฑเจš,

-
-
CVE-2013-4152
เจฆเจฐเจฎเจฟเจ†เจจเฉ‡
เจ—เจฒเจค
เจธเจชเจฐเจฟเฉฐเจ—-เจตเฉˆเฉฑเจฌ เจตเจฟเฉฑเจš เจ‰เจธเฉ‡ เจ•เจฎเจœเจผเฉ‹เจฐเฉ€ เจฆเจพ เจกเฉเจชเจฒเฉ€เจ•เฉ‡เจŸ

-
CVE-2013-4152
-
เจฆเจฐเจฎเจฟเจ†เจจเฉ‡
เจ—เจฒเจค
เจ•เจฎเจœเจผเฉ‹เจฐเฉ€ เจธเจชเจฐเจฟเฉฐเจ—-เจตเฉˆเจฌ เจ•เฉฐเจชเฉ‹เจจเฉˆเจ‚เจŸ เจจเจพเจฒ เจธเจฌเฉฐเจงเจค เจนเฉˆ

-
CVE-2013-6429
CVE-2013-6429
เจฆเจฐเจฎเจฟเจ†เจจเฉ‡
เจ—เจฒเจค
เจ•เจฎเจœเจผเฉ‹เจฐเฉ€ เจธเจชเจฐเจฟเฉฐเจ—-เจตเฉˆเจฌ เจ•เฉฐเจชเฉ‹เจจเฉˆเจ‚เจŸ เจจเจพเจฒ เจธเจฌเฉฐเจงเจค เจนเฉˆ

-
CVE-2013-6430
-
เจฆเจฐเจฎเจฟเจ†เจจเฉ‡
เจ—เจฒเจค
เจ•เจฎเจœเจผเฉ‹เจฐเฉ€ เจธเจชเจฐเจฟเฉฐเจ—-เจตเฉˆเจฌ เจ•เฉฐเจชเฉ‹เจจเฉˆเจ‚เจŸ เจจเจพเจฒ เจธเจฌเฉฐเจงเจค เจนเฉˆ

-
CVE-2013-7315
CVE-2013-7315
เจฆเจฐเจฎเจฟเจ†เจจเฉ‡
เจ—เจฒเจค
CVE-2013-4152 เจคเฉ‹เจ‚ เจธเจชเจฒเจฟเจŸเฅค + เจ•เจฎเจœเจผเฉ‹เจฐเฉ€ เจธเจชเจฐเจฟเฉฐเจ—-เจตเฉˆเจฌ เจ•เฉฐเจชเฉ‹เจจเฉˆเจ‚เจŸ เจจเจพเจฒ เจธเจฌเฉฐเจงเจค เจนเฉˆ

-
CVE-2014-0054
CVE-2014-0054
เจฆเจฐเจฎเจฟเจ†เจจเฉ‡
เจ—เจฒเจค
เจ•เจฎเจœเจผเฉ‹เจฐเฉ€ เจธเจชเจฐเจฟเฉฐเจ—-เจตเฉˆเจฌ เจ•เฉฐเจชเฉ‹เจจเฉˆเจ‚เจŸ เจจเจพเจฒ เจธเจฌเฉฐเจงเจค เจนเฉˆ

-
CVE-2014-0225
-
เจนเจพเจˆ
เจ—เจฒเจค
เจ•เจฎเจœเจผเฉ‹เจฐเฉ€ เจธเจชเจฐเจฟเฉฐเจ—-เจตเฉˆเจฌ เจ•เฉฐเจชเฉ‹เจจเฉˆเจ‚เจŸ เจจเจพเจฒ เจธเจฌเฉฐเจงเจค เจนเฉˆ

-
-
CVE-2014-0225
เจนเจพเจˆ
เจ—เจฒเจค
เจธเจชเจฐเจฟเฉฐเจ—-เจตเฉˆเฉฑเจฌ เจตเจฟเฉฑเจš เจ‰เจธเฉ‡ เจ•เจฎเจœเจผเฉ‹เจฐเฉ€ เจฆเจพ เจกเฉเจชเจฒเฉ€เจ•เฉ‡เจŸ

-
CVE-2014-1904
CVE-2014-1904
เจฆเจฐเจฎเจฟเจ†เจจเฉ‡
เจ—เจฒเจค
เจ•เจฎเจœเจผเฉ‹เจฐเฉ€ spring-web-mvc เจ•เฉฐเจชเฉ‹เจจเฉˆเจ‚เจŸ เจจเจพเจฒ เจธเจฌเฉฐเจงเจค เจนเฉˆ

-
CVE-2014-3625
CVE-2014-3625
เจฆเจฐเจฎเจฟเจ†เจจเฉ‡
เจ—เจฒเจค
เจ•เจฎเจœเจผเฉ‹เจฐเฉ€ spring-web-mvc เจ•เฉฐเจชเฉ‹เจจเฉˆเจ‚เจŸ เจจเจพเจฒ เจธเจฌเฉฐเจงเจค เจนเฉˆ

-
CVE-2016-9878
CVE-2016-9878
เจนเจพเจˆ
เจ—เจฒเจค
เจ•เจฎเจœเจผเฉ‹เจฐเฉ€ spring-web-mvc เจ•เฉฐเจชเฉ‹เจจเฉˆเจ‚เจŸ เจจเจพเจฒ เจธเจฌเฉฐเจงเจค เจนเฉˆ

-
CVE-2018-1270
CVE-2018-1270
เจนเจพเจˆ
เจ—เจฒเจค
เจฌเจธเฉฐเจค-เจชเฉเจฐเจ—เจŸเจพเจตเฉ‡/เจฌเจธเฉฐเจค-เจธเฉเจจเฉ‡เจนเจฟเจ†เจ‚ เจฒเจˆ

-
CVE-2018-1271
CVE-2018-1271
เจฆเจฐเจฎเจฟเจ†เจจเฉ‡
เจ—เจฒเจค
เจ•เจฎเจœเจผเฉ‹เจฐเฉ€ spring-web-mvc เจ•เฉฐเจชเฉ‹เจจเฉˆเจ‚เจŸ เจจเจพเจฒ เจธเจฌเฉฐเจงเจค เจนเฉˆ

-
CVE-2018-1272
CVE-2018-1272
เจนเจพเจˆ
เจธเฉฑเจš,

CVE-2014-3578
CVE-2014-3578 (OSSINDEX)
CVE-2014-3578
เจฆเจฐเจฎเจฟเจ†เจจเฉ‡
เจธเฉฑเจš,

SONATYPE-2015-0327
-
-
เจ–เฉ‹เจœเฉ‹ wego.co.in
เจธเฉฑเจš,

struts2-config-browser-plugin:2.3.30
SONATYPE-2016-0104
-
-
เจฆเจฐเจฎเจฟเจ†เจจเฉ‡
เจธเฉฑเจš,

spring-tx:3.0.5
-
CVE-2011-2730
-
เจนเจพเจˆ
เจ—เจฒเจค
เจ•เจฎเจœเจผเฉ‹เจฐเฉ€ spring-tx เจฒเจˆ เจ–เจพเจธ เจจเจนเฉ€เจ‚ เจนเฉˆ

-
CVE-2011-2894
-
เจนเจพเจˆ
เจ—เจฒเจค
เจ•เจฎเจœเจผเฉ‹เจฐเฉ€ spring-tx เจฒเจˆ เจ–เจพเจธ เจจเจนเฉ€เจ‚ เจนเฉˆ

-
CVE-2013-4152
-
เจฆเจฐเจฎเจฟเจ†เจจเฉ‡
เจ—เจฒเจค
เจ•เจฎเจœเจผเฉ‹เจฐเฉ€ spring-tx เจฒเจˆ เจ–เจพเจธ เจจเจนเฉ€เจ‚ เจนเฉˆ

-
CVE-2013-6429
-
เจฆเจฐเจฎเจฟเจ†เจจเฉ‡
เจ—เจฒเจค
เจ•เจฎเจœเจผเฉ‹เจฐเฉ€ spring-tx เจฒเจˆ เจ–เจพเจธ เจจเจนเฉ€เจ‚ เจนเฉˆ

-
CVE-2013-6430
-
เจฆเจฐเจฎเจฟเจ†เจจเฉ‡
เจ—เจฒเจค
เจ•เจฎเจœเจผเฉ‹เจฐเฉ€ spring-tx เจฒเจˆ เจ–เจพเจธ เจจเจนเฉ€เจ‚ เจนเฉˆ

-
CVE-2013-7315
-
เจฆเจฐเจฎเจฟเจ†เจจเฉ‡
เจ—เจฒเจค
เจ•เจฎเจœเจผเฉ‹เจฐเฉ€ spring-tx เจฒเจˆ เจ–เจพเจธ เจจเจนเฉ€เจ‚ เจนเฉˆ

-
CVE-2014-0054
-
เจฆเจฐเจฎเจฟเจ†เจจเฉ‡
เจ—เจฒเจค
เจ•เจฎเจœเจผเฉ‹เจฐเฉ€ spring-tx เจฒเจˆ เจ–เจพเจธ เจจเจนเฉ€เจ‚ เจนเฉˆ

-
CVE-2014-0225
-
เจนเจพเจˆ
เจ—เจฒเจค
เจ•เจฎเจœเจผเฉ‹เจฐเฉ€ spring-tx เจฒเจˆ เจ–เจพเจธ เจจเจนเฉ€เจ‚ เจนเฉˆ

-
CVE-2014-1904
-
เจฆเจฐเจฎเจฟเจ†เจจเฉ‡
เจ—เจฒเจค
เจ•เจฎเจœเจผเฉ‹เจฐเฉ€ spring-tx เจฒเจˆ เจ–เจพเจธ เจจเจนเฉ€เจ‚ เจนเฉˆ

-
CVE-2014-3625
-
เจฆเจฐเจฎเจฟเจ†เจจเฉ‡
เจ—เจฒเจค
เจ•เจฎเจœเจผเฉ‹เจฐเฉ€ spring-tx เจฒเจˆ เจ–เจพเจธ เจจเจนเฉ€เจ‚ เจนเฉˆ

-
CVE-2016-9878
-
เจนเจพเจˆ
เจ—เจฒเจค
เจ•เจฎเจœเจผเฉ‹เจฐเฉ€ spring-tx เจฒเจˆ เจ–เจพเจธ เจจเจนเฉ€เจ‚ เจนเฉˆ

-
CVE-2018-1270
-
เจนเจพเจˆ
เจ—เจฒเจค
เจ•เจฎเจœเจผเฉ‹เจฐเฉ€ spring-tx เจฒเจˆ เจ–เจพเจธ เจจเจนเฉ€เจ‚ เจนเฉˆ

-
CVE-2018-1271
-
เจฆเจฐเจฎเจฟเจ†เจจเฉ‡
เจ—เจฒเจค
เจ•เจฎเจœเจผเฉ‹เจฐเฉ€ spring-tx เจฒเจˆ เจ–เจพเจธ เจจเจนเฉ€เจ‚ เจนเฉˆ

-
CVE-2018-1272
-
เจฆเจฐเจฎเจฟเจ†เจจเฉ‡
เจ—เจฒเจค
เจ•เจฎเจœเจผเฉ‹เจฐเฉ€ spring-tx เจฒเจˆ เจ–เจพเจธ เจจเจนเฉ€เจ‚ เจนเฉˆ

เจธเจŸเจฐเจŸเจธ-เจ•เฉ‹เจฐ: 1.3.8
-
CVE-2011-5057 (OSSINDEX)

เจฆเจฐเจฎเจฟเจ†เจจเฉ‡
FASLE
เจธเจŸเฉเจฐเจŸเจธ เจฒเจˆ เจ•เจฎเจœเจผเฉ‹เจฐเฉ€ 2

-
CVE-2012-0391 (OSSINDEX)
CVE-2012-0391
เจนเจพเจˆ
เจ—เจฒเจค
เจธเจŸเฉเจฐเจŸเจธ เจฒเจˆ เจ•เจฎเจœเจผเฉ‹เจฐเฉ€ 2

-
CVE-2014-0094 (OSSINDEX)
CVE-2014-0094
เจฆเจฐเจฎเจฟเจ†เจจเฉ‡
เจ—เจฒเจค
เจธเจŸเฉเจฐเจŸเจธ เจฒเจˆ เจ•เจฎเจœเจผเฉ‹เจฐเฉ€ 2

-
CVE-2014-0113 (OSSINDEX)
CVE-2014-0113
เจนเจพเจˆ
เจ—เจฒเจค
เจธเจŸเฉเจฐเจŸเจธ เจฒเจˆ เจ•เจฎเจœเจผเฉ‹เจฐเฉ€ 2

CVE-2016-1182
3VE-2016-1182
-
เจนเจพเจˆ
เจธเฉฑเจš,

-
-
CVE-2011-5057
เจฆเจฐเจฎเจฟเจ†เจจเฉ‡
เจ—เจฒเจค
เจธเจŸเฉเจฐเจŸเจธ เจฒเจˆ เจ•เจฎเจœเจผเฉ‹เจฐเฉ€ 2

-
CVE-2012-0392 (OSSINDEX)
CVE-2012-0392
เจนเจพเจˆ
เจ—เจฒเจค
เจธเจŸเฉเจฐเจŸเจธ เจฒเจˆ เจ•เจฎเจœเจผเฉ‹เจฐเฉ€ 2

-
CVE-2012-0393 (OSSINDEX)
CVE-2012-0393
เจฆเจฐเจฎเจฟเจ†เจจเฉ‡
เจ—เจฒเจค
เจธเจŸเฉเจฐเจŸเจธ เจฒเจˆ เจ•เจฎเจœเจผเฉ‹เจฐเฉ€ 2

CVE-2015-0899
CVE-2015-0899
-
เจนเจพเจˆ
เจธเฉฑเจš,

-
CVE-2012-0394
CVE-2012-0394
เจฆเจฐเจฎเจฟเจ†เจจเฉ‡
เจ—เจฒเจค
เจธเจŸเฉเจฐเจŸเจธ เจฒเจˆ เจ•เจฎเจœเจผเฉ‹เจฐเฉ€ 2

-
CVE-2012-0838 (OSSINDEX)
CVE-2012-0838
เจนเจพเจˆ
เจ—เจฒเจค
เจธเจŸเฉเจฐเจŸเจธ เจฒเจˆ เจ•เจฎเจœเจผเฉ‹เจฐเฉ€ 2

-
CVE-2013-1965 (OSSINDEX)
CVE-2013-1965
เจนเจพเจˆ
เจ—เจฒเจค
เจธเจŸเฉเจฐเจŸเจธ เจฒเจˆ เจ•เจฎเจœเจผเฉ‹เจฐเฉ€ 2

-
CVE-2013-1966 (OSSINDEX)
CVE-2013-1966
เจนเจพเจˆ
FASLE
เจธเจŸเฉเจฐเจŸเจธ เจฒเจˆ เจ•เจฎเจœเจผเฉ‹เจฐเฉ€ 2

-
CVE-2013-2115
CVE-2013-2115
เจนเจพเจˆ
FASLE
เจธเจŸเฉเจฐเจŸเจธ เจฒเจˆ เจ•เจฎเจœเจผเฉ‹เจฐเฉ€ 2

-
CVE-2013-2134 (OSSINDEX)
CVE-2013-2134
เจนเจพเจˆ
FASLE
เจธเจŸเฉเจฐเจŸเจธ เจฒเจˆ เจ•เจฎเจœเจผเฉ‹เจฐเฉ€ 2

-
CVE-2013-2135 (OSSINDEX)
CVE-2013-2135
เจนเจพเจˆ
FASLE
เจธเจŸเฉเจฐเจŸเจธ เจฒเจˆ เจ•เจฎเจœเจผเฉ‹เจฐเฉ€ 2

CVE-2014-0114
CVE-2014-0114
-
เจนเจพเจˆ
เจธเฉฑเจš,

-
CVE-2015-2992
CVE-2015-2992
เจฆเจฐเจฎเจฟเจ†เจจเฉ‡
เจ—เจฒเจค
เจธเจŸเฉเจฐเจŸเจธ เจฒเจˆ เจ•เจฎเจœเจผเฉ‹เจฐเฉ€ 2

-
CVE-2016-0785 (OSSINDEX)
CVE-2016-0785
เจนเจพเจˆ
เจ—เจฒเจค
เจธเจŸเฉเจฐเจŸเจธ เจฒเจˆ เจ•เจฎเจœเจผเฉ‹เจฐเฉ€ 2

CVE-2016-1181
CVE-2016-1181
-
เจนเจพเจˆ
เจธเฉฑเจš,

-
CVE-2016-4003 (OSSINDEX)
CVE-2016-4003
เจนเจพเจˆ
เจ—เจฒเจค
เจธเจŸเฉเจฐเจŸเจธ เจฒเจˆ เจ•เจฎเจœเจผเฉ‹เจฐเฉ€ 2

xwork-core:2.3.30
CVE-2017-9804
-
-
เจนเจพเจˆ
เจธเฉฑเจš,

SONATYPE-2017-0173
-
-
เจนเจพเจˆ
เจธเฉฑเจš,

CVE-2017-7672
-
-
เจนเจพเจˆ
เจ—เจฒเจค
CVE-2017-9804 เจฆเจพ เจกเฉเจชเจฒเฉ€เจ•เฉ‡เจŸ

SONATYPE-2016-0127
-
-
เจนเจพเจˆ
เจธเฉฑเจš,

เจธเจŸเจฐเจŸเจธ2-เจ•เฉ‹เจฐ: 2.3.30
-
CVE-2016-6795
CVE-2016-6795
เจนเจพเจˆ
เจธเฉฑเจš,

-
CVE-2017-9787
CVE-2017-9787
เจนเจพเจˆ
เจธเฉฑเจš,

-
CVE-2017-9791
CVE-2017-9791
เจนเจพเจˆ
เจธเฉฑเจš,

-
CVE-2017-9793
-
เจนเจพเจˆ
เจ—เจฒเจค
CVE-2018-1327 เจฆเจพ เจกเฉเจชเจฒเฉ€เจ•เฉ‡เจŸ

-
CVE-2017-9804
-
เจนเจพเจˆ
เจธเฉฑเจš,

-
CVE-2017-9805
CVE-2017-9805
เจนเจพเจˆ
เจธเฉฑเจš,

CVE-2016-4003
-
-
เจฆเจฐเจฎเจฟเจ†เจจเฉ‡
เจ—เจฒเจค
Apache Struts 2.x เจฒเจˆ 2.3.28 เจคเฉฑเจ• เจฒเจพเจ—เฉ‚ เจนเฉˆ, เจœเฉ‹ เจ•เจฟ เจตเจฐเจœเจจ 2.3.30 เจนเฉˆเฅค เจนเจพเจฒเจพเจ‚เจ•เจฟ, เจตเจฐเจฃเจจ เจฆเฉ‡ เจ†เจงเจพเจฐ 'เจคเฉ‡, CVE เจธเจŸเฉเจฐเจŸเจธ 2 เจฆเฉ‡ เจ•เจฟเจธเฉ‡ เจตเฉ€ เจธเฉฐเจธเจ•เจฐเจฃ เจฒเจˆ เจตเฉˆเจง เจนเฉˆ เจœเฉ‡เจ•เจฐ JRE 1.7 เจœเจพเจ‚ เจ˜เฉฑเจŸ เจตเจฐเจคเจฟเจ† เจœเจพเจ‚เจฆเจพ เจนเฉˆเฅค เจœเจผเจพเจนเจฐ เจคเฉŒเจฐ 'เจคเฉ‡ เจ‰เจจเฉเจนเจพเจ‚ เจจเฉ‡ เจ‡เฉฑเจฅเฉ‡ เจธเจพเจกเจพ เจฎเฉเฉœ เจฌเฉ€เจฎเจพ เจ•เจฐเจจ เจฆเจพ เจซเฉˆเจธเจฒเจพ เจ•เฉ€เจคเจพ, เจชเจฐ เจ‡เจน เจ—เจฒเจค เจฒเฉฑเจ— เจฐเจฟเจนเจพ เจนเฉˆ

-
CVE-2018-1327
CVE-2018-1327
เจนเจพเจˆ
เจธเฉฑเจš,

CVE-2017-5638
CVE-2017-5638
CVE-2017-5638
เจนเจพเจˆ
เจธเฉฑเจš,
เจ‰เจนเฉ€ เจ•เจฎเจœเจผเฉ‹เจฐเฉ€ เจœเจฟเจธเจฆเจพ Equifax เจนเฉˆเจ•เจฐเจพเจ‚ เจจเฉ‡ 2017 เจตเจฟเฉฑเจš เจธเจผเฉ‹เจธเจผเจฃ เจ•เฉ€เจคเจพ เจธเฉ€

CVE-2017-12611
CVE-2017-12611
-
เจนเจพเจˆ
เจธเฉฑเจš,

CVE-2018-11776
CVE-2018-11776
CVE-2018-11776
เจนเจพเจˆ
เจธเฉฑเจš,

เจธเจŸเจฐเจŸเจธ-เจŸเฉˆเจ—เจฒเจฟเจฌ: 1.3.8
-
CVE-2012-0394
-
เจฆเจฐเจฎเจฟเจ†เจจเฉ‡
เจ—เจฒเจค
เจธเจŸเจฐเจŸเจธ2-เจ•เฉ‹เจฐ เจฒเจˆ

-
CVE-2013-2115
-
เจนเจพเจˆ
เจ—เจฒเจค
เจธเจŸเจฐเจŸเจธ2-เจ•เฉ‹เจฐ เจฒเจˆ

-
CVE-2014-0114
-
เจนเจพเจˆ
เจ—เจฒเจค
เจ•เจพเจฎเจจเจœเจผ-เจฌเฉ€เจจเจŸเฉ€เจฒเจพเจ‚ เจฒเจˆ

-
CVE-2015-0899
-
เจนเจพเจˆ
เจ—เจฒเจค
เจŸเฉˆเจ—เจฒเจฟเจฌ 'เจคเฉ‡ เจฒเจพเจ—เฉ‚ เจจเจนเฉ€เจ‚ เจนเฉเฉฐเจฆเจพ

-
CVE-2015-2992
-
เจฆเจฐเจฎเจฟเจ†เจจเฉ‡
เจ—เจฒเจค
เจธเจŸเจฐเจŸเจธ2-เจ•เฉ‹เจฐ เจฆเจพ เจนเจตเจพเจฒเจพ เจฆเจฟเฉฐเจฆเจพ เจนเฉˆ

-
CVE-2016-1181
-
เจนเจพเจˆ
เจ—เจฒเจค
เจŸเฉˆเจ—เจฒเจฟเจฌ 'เจคเฉ‡ เจฒเจพเจ—เฉ‚ เจจเจนเฉ€เจ‚ เจนเฉเฉฐเจฆเจพ

-
CVE-2016-1182
-
เจนเจพเจˆ
เจ—เจฒเจค
เจŸเฉˆเจ—เจฒเจฟเจฌ 'เจคเฉ‡ เจฒเจพเจ—เฉ‚ เจจเจนเฉ€เจ‚ เจนเฉเฉฐเจฆเจพ

struts-tiles-1.3.8
-
CVE-2012-0394
-
เจฆเจฐเจฎเจฟเจ†เจจเฉ‡
เจ—เจฒเจค
เจธเจŸเจฐเจŸเจธ2-เจ•เฉ‹เจฐ เจฒเจˆ

-
CVE-2013-2115
-
เจนเจพเจˆ
เจ—เจฒเจค
เจธเจŸเจฐเจŸเจธ2-เจ•เฉ‹เจฐ เจฒเจˆ

-
CVE-2014-0114
-
เจนเจพเจˆ
เจ—เจฒเจค
เจ•เจพเจฎเจจเจœเจผ เจ…เจงเฉ€เจจ-เจฌเฉ€เจจเจŸเจฟเจฒเจธ

-
CVE-2015-0899
-
เจนเจพเจˆ
เจ—เจฒเจค
เจŸเจพเจˆเจฒเจพเจ‚ 'เจคเฉ‡ เจฒเจพเจ—เฉ‚ เจจเจนเฉ€เจ‚ เจนเฉเฉฐเจฆเจพ

-
CVE-2015-2992
-
เจฆเจฐเจฎเจฟเจ†เจจเฉ‡
เจ—เจฒเจค
เจธเจŸเจฐเจŸเจธ2-เจ•เฉ‹เจฐ เจฒเจˆ

-
CVE-2016-1181
-
เจนเจพเจˆ
เจ—เจฒเจค
เจŸเฉˆเจ—เจฒเจฟเจฌ 'เจคเฉ‡ เจฒเจพเจ—เฉ‚ เจจเจนเฉ€เจ‚ เจนเฉเฉฐเจฆเจพ

-
CVE-2016-1182
-
เจนเจพเจˆ
เจ—เจฒเจค
เจŸเฉˆเจ—เจฒเจฟเจฌ 'เจคเฉ‡ เจฒเจพเจ—เฉ‚ เจจเจนเฉ€เจ‚ เจนเฉเฉฐเจฆเจพ

เจธเจฐเฉ‹เจค: www.habr.com

เจ‡เฉฑเจ• เจŸเจฟเฉฑเจชเจฃเฉ€ เจœเฉ‹เฉœเฉ‹