是的,如果你后面在PPT中看到“Maven中存在一些关键漏洞”,你应该理解为“Maven中央仓库中的这些依赖工件存在漏洞”。以上是ApacheMaven官方对下图的回应:除了借此影射Snyk(全球知名应用安全解决方案提供商)的高级工程师不理解Maven和MavenCenter的区别外,还带来了MavenCenter仓库中久违的变化。Maven中央仓库(mvnrepository.com)最近悄悄增加了一个功能,在依赖列表中增加一个Vulnerabilities红色高亮字段,用于显示当前依赖版本的漏洞信息,提醒那些没有注意到漏洞信息的开发者可以轻松评估漏洞并避免它们。请注意,只会显示已发布的漏洞,Maven中央存储库本身没有扫描漏洞的能力。此举非常及时,意在引入一种机制来应对Log4j2漏洞等风险。Log4j2漏洞的后果仍未平息。据谷歌统计,目前有超过35000个Java类库受到Log4j漏洞的影响,占Maven中央仓库存储的类库总数的8%,对整个软件行业造成了广泛的影响。专家分析了修复影响Maven包的关键公告中报告的缺陷所花费的时间,并确定只有48%的受漏洞影响的工件得到修复,这个过程可能需要数年时间。Maven团队的这一举措将帮助那些没有完整安全评估体系的研发团队加快修复受log4jshell漏洞影响的Java生态系统。关注公众号:Felordcn获取更多资讯个人博客:https://felord.cn
