是的,如果以后在PPT中看到“Maven中有一些关键漏洞”时你应该理解为“这些在Maven中央仓库的依赖工件存在漏洞”。
上面是 Apache Maven 官方针对下图的一个回应:
除了借此来暗讽 Snyk 公司(全球知名的应用安全解决方案提供商)的高级工程师不懂 Maven 和 Maven Center 的区别外,还带来了 Maven 中央仓库久违的改变。 Maven 中央仓库( mvnrepository.com )近期悄悄增加了一个功能,在依赖列表增加了一个 Vulnerabilities 红色高亮字段,这个字段用来展示当前依赖版本的漏洞信息,以提醒哪些还没有注意到该漏洞信息的开发者,方便评估漏洞并加以规避。
请注意必须是已被公布的漏洞才会被显示, Maven 中央仓库本身不具备扫描漏洞的能力。
这项举措非常及时,意在引入一个机制来应对像Log4j2漏洞一样的风险。 Log4j2 漏洞的余波仍未平息。根据 Google 的统计,目前有超过 35,000 个 Java 类库受 Log4j 漏洞影响,占 Maven 中央仓库存储的类库总数的 8% ,对整个软件行业都造成了广泛的后果。专家们分析了修复影响 Maven 包的关键公告中报告的缺陷所花费的时间,并确定只有 48% 的受漏洞影响的工件已得到修复,整个过程可能需要数年时间。 Maven 团队的这一举措将帮助那些没有完整安全评估体系的研发团队,加快修复受 log4jshell 漏洞影响的 Java 生态。
作者:码农小胖哥
链接:Maven中央仓库增加依赖漏洞提醒功能 - 掘金