Quand Jackson atteint sa fin de vie, les CVE ne s'arrêtent pas pour autant.
Never-Ending Support (NES) Jackson garantit que l'analyseur JSON, au cœur de votre pile Java, reste sécurisé, conforme et prêt pour les audits, même après la fin de vie du produit. Le NES redonne à votre équipe de sécurité, à vos ingénieurs et à votre direction ce qu'ils avaient perdu à la fin de vie du produit : la capacité de contrôler leur propre posture de sécurité, leur propre calendrier et les priorités de l'entreprise.
RECONNU PAR LES GRANDES ENTREPRISES

Sécurité, conformité et continuité : des défis à relever ensemble
Jackson le sérialiseur JSON par défaut dans Spring et est présent dans presque tous les services JVM que vous déployez — mais les branches 2.13.x, 2.14.x et 2.15.x ne bénéficient plus de correctifs en amont ; par conséquent, les nouvelles vulnérabilités CVE ne sont pas corrigées et les scanners signalent chaque version comme vulnérable. NES for Jackson une version sécurisée des séries 2.13.x, 2.14.x et 2.15.x, qui intègre les correctifs des CVE de tous les niveaux de gravité pour la série 2.x en fin de vie (EOL).
Sécurité
Le risque : la désérialisation est une cible privilégiée — et la fin de vie (EOL) signifie qu’aucun correctif n’est disponible en amont.
Correctionsdes vulnérabilités CVEde tous les niveaux de gravité sur la branche 2.x en fin de vie — ce qui met fin à la faille sur laquelle reposent les attaques par désérialisation.
La mise à disposition des correctifs dans le cadre du SLA est liée au niveau de gravité
Corrections rétroactives pour les versions 2.13.x, 2.14.x et 2.15.x
Couverture des éléments fondamentaux, des formats de données, des types de données et des modules
Conformité
Le risque : une anomalie d'audit non résolue sans plan de correction prévu dans le cadre des normes CRA, PCI DSS, SOC 2, DORA et NIS2.
Les scanners cessent de signaler les CVE dans la version EOL Jackson chaque version est livrée avec une instruction VEX, ce qui permet de supprimer de votre rapport les anomalies liées aux dépendances non prises en charge.
Conformité aux normes SOC 2, PCI DSS, HIPAA et FedRAMP
DORA, NIS2, la loi européenne sur la cyber-résilience, et bien d'autres encore
Déclarations VEX et historique des correctifs documenté
Continuité des activités
Le risque : une mise à jour précipitée peut perturber le fonctionnement des sérialiseurs personnalisés et des contrats de transmission.
Un artefact Maven prêt à l'emploi qui s'intègre simplement en modifiant une seule coordonnée, sans aucune modification du code de l'application — vous permettant ainsi de migrer Jackson à votre rythme.
Il faudra des mois, voire des années, pour mener à bien cette migration
Pas de réécriture, pas de sérialiseurs défectueux
Une fraction du coût de la migration

PARTENARIAT ÉCOSYSTÉMIQUE
La Fondation Commonhaus est une structure à but non lucratif qui héberge des projets open source gérés par la communauté, dont Jackson, afin d’assurer leur gestion et leur pérennité à long terme. HeroDevs est fier d’être membre fondateur de l’Initiative pour la pérennité de l’open source (OSSI) de la Fondation Commonhaus. HeroDevs a collaboré avec Commonhaus pour mettre en place cette initiative axée sur la sécurité et fournit Never-Ending Support (NES) les versions en fin de vie de Jacksonet d’autres projets open source gérés par la Fondation Commonhaus.
Ce qui change le jour où vous installez NES.
Avant — la douleur
Chaque service analyse le JSON à l'aide d'un EOL Jackson
Les scanners signalent chaque version, aucun correctif n'est prévu en amont, et lorsqu'un nouveau CVE lié à la désérialisation est publié, la fenêtre entre la divulgation et l'exploitation est grande ouverte.
Après — avec HeroDevs
Le parseur passe de l'état « exposé » à l'état « défendu »
Une modification d'une seule coordonnée dans la version NES permet de reprendre l'application des correctifs CVE basés sur SLA pour les versions 2.13.x, 2.14.x et 2.15.x, sans modification de l'API publique ni du format de transmission.
Avant — la douleur
Une question en suspens, sans réponse
L'audit interne, la norme SOC 2 et un questionnaire sur la sécurité destiné aux clients signalent tous que « jackson » est en fin de vie (EOL). Il n'existe aucune solution corrective ni aucune réponse défendable à fournir aux auditeurs.
Après — avec HeroDevs
Les résultats sont clairs, les questionnaires se répondent d'eux-mêmes
Une version identifiée, prise en charge par le fournisseur, assortie d'accords de niveau de service (SLA) fermes et de déclarations VEX. Les scanners cessent de signaler les vulnérabilités CVE et vous disposez d'un environnement d'exécution conforme aux normes PCI DSS, HIPAA, SOC 2, DORA et NIS2.
Avant — la douleur
Le calendrier de fin de vie (EOL) par rapport à la feuille de route
La modification Jackson peut perturber le fonctionnement des sérialiseurs personnalisés et des contrats « on-the-wire » sur des centaines de services. Une migration précipitée risque de provoquer des incidents en production et d'éloigner les ingénieurs de leur feuille de route.
Après — avec HeroDevs
Migrer à votre rythme, sans vous laisser dicter par le temps
Une mise à niveau directe, octet par octet — aucune modification du code n'est nécessaire. Les équipes disposent ainsi d'une marge de manœuvre suffisante pour planifier une mise à niveau en bonne et due forme, tandis que les versions 2.13.x, 2.14.x et 2.15.x restent sécurisées, conformes et stables.
Véritables vulnérabilités CVE, corrigées dans les versions EOL 2.13.x, 2.14.x et 2.15.x.
Plus de 10 Jackson apportés Jackson dans toute la gamme 2.x.
Pas seulement jackson.
NES pour Jackson les éléments que vos services utilisent concrètement : le noyau, les formats de données, les types de données, ainsi que les modules et les intégrations qui relient Jackson reste de votre pile technologique.
Core et Databind
Le moteur
jackson
jackson
annotations jackson
jackson
Formats et types
Au-delà de JSON
format_de_données-xml
format de données - YAML
format_de_données-csv
format_de_données-cbor
type de données-jsr310
type de données - JDK 8
Modules et intégrations
La colle
module-kotlin
module-scala
module-afterburner
module-blackbird
jaxrs-json-provider
jr-objects
Facile à mettre en place, sans interruption de service.
Ajouter le registre
Enregistrez registry.herodevs.io en tant que référentiel Maven dans votre fichier pom.xml ou settings.xml.
Configurez votre jeton
Ajoutez votre jeton d'authentification HeroDevs au fichier settings.xml afin que la compilation puisse récupérer les artefacts corrigés.
Modifier les coordonnées
Passez à la version « -nes » et relancez la compilation. Aucune modification du code de l'application n'est nécessaire.
Passage aux scanners
Mises à jour régulières et assistance commerciale assurée — les vulnérabilités CVE concernant la version Jackson en fin de vie Jackson donc Jackson .
Une réponse solide pour chaque norme, cadre ou réglementation
Les logiciels en fin de vie (EOL) compromettent les attentes en matière de gestion des correctifs dans le cadre des réglementations internationales. NES vous propose une version maintenue et prise en charge par le fournisseur, assortie de contrats de niveau de service (SLA) garantis et d'un historique documenté des correctifs, afin de démontrer votre conformité aux auditeurs et aux autorités de régulation.
PCI DSS
La exigence 6.3.3 stipule que les vulnérabilités connues comme critiques ou de gravité élevée doivent faire l'objet d'un correctif dans un délai de 30 jours. La fin de vie (EOL) Jackson correctif entraîne une non-conformité immédiate — NES rétablit la procédure de correction.
HIPAA
Les bibliothèques non prises en charge compliquent la mise en place de mesures de sécurité adéquates pour les systèmes traitant des données ePHI. NES assure une maintenance active et contribue à la réduction des risques.
SOC 2
Les critères relatifs aux services de confiance exigent une correction rapide des vulnérabilités et une gestion efficace des correctifs. Les dépendances en fin de vie (EOL) ne permettent pas d'obtenir la certification si elles ne bénéficient plus d'aucun support.
NIS2
L'article 21 traite de la gestion des correctifs, des vulnérabilités et de la chaîne d'approvisionnement. Un logiciel en fin de vie (EOL) est considéré comme non conforme dès lors qu'il présente un risque.
DORA
Considère les logiciels en fin de vie (EOL) comme une faille de résilience pour les actifs informatiques et de communication financiers. Le NES met en œuvre un programme documenté de gestion des correctifs.
Loi sur la cyber-résilience
Assure la sécurité tout au long du cycle de vie du logiciel. NES garantit une gestion efficace de la bibliothèque pendant toute la durée de la prise en charge.
NIST CSF 2.0
La directive PR.PS-02 impose aux organisations de maintenir activement à jour ou de supprimer les logiciels vulnérables en fonction des risques. NES permet de se conformer à cette directive sans mise à jour forcée.
FedRAMP
La surveillance continue implique la correction des failles selon une fréquence définie. Une version corrigée et prise en charge par le fournisseur permet de maintenir Jackson (en fin de vie) Jackson les limites définies.
Contrats commerciaux
Les mesures de gestion des vulnérabilités et des configurations impliquent d'identifier les vulnérabilités techniques et de veiller à ce que les logiciels respectent les normes de sécurité. NES rétablit cette conformité pour les logiciels en fin de vie.
Conçu par des ingénieurs en sécurité. Soutenu par un CNA.
HeroDevs est une autorité de numérotation CVE agréée, habilitée à détecter et à attribuer des identifiants CVE. Chaque Jackson NES for Jackson remet à zéro le nombre de CVE connus pour les artefacts concernés et est livrée avec des déclarations VEX et des notes de mise à jour qui renvoient directement aux avis de sécurité que vous devez corriger — ce qui permet de supprimer de votre rapport les dépendances non prises en charge.
HeroDevs est également un contributeur de longue date à l'open source, soutenant les mainteneurs et les écosystèmes qui Jackson des logiciels tels que Jackson .
Autorité chargée de la numérotation CVE
Découverte et publication des CVE
Déclarations VEX à chaque compilation
Découverte et publication des CVE
Accords de niveau de service (SLA) conclus
Déploiement de correctifs en fonction du niveau de gravité
Questions fréquemment posées
Non. NES comble la faille de sécurité pendant votre période de migration — il ne s'agit pas d'une alternative permanente au passage à une Jackson prise en charge Jackson . Cela vous permet de gagner du temps pour effectuer la mise à niveau selon votre propre calendrier, tout en garantissant la sécurité et la conformité aux exigences d'audit.
Oui. Une fois installés, les scanners cessent de signaler des vulnérabilités CVE sur la version EOL Jackson les artefacts font l’objet de correctifs réguliers et bénéficient d’un support commercial. NES permet de répondre aux exigences en matière de gestion des correctifs prévues par les normes PCI DSS, HIPAA, FedRAMP, SOC 2, DORA, NIS2 et la loi européenne sur la cyber-résilience, grâce à des accords de niveau de service (SLA) fermes, des déclarations VEX et un historique documenté des correctifs.
Sous forme d'artefacts de remplacement direct sur le registre Maven de HeroDevs (registry.herodevs.io). Une coordonnée NES se présente sous la forme suivante : com.herodevs.nes.fasterxml.jackson.core:jackson:2.13.jackson.13.6.
Les versions NES préservent l'API publique et le comportement en réseau de Jackson .x. Il suffit d'ajouter le registre Maven de HeroDevs, de s'authentifier à l'aide de votre jeton et de modifier la coordonnée de version : aucune modification du code de l'application n'est nécessaire, et les sérialiseurs et modules personnalisés continuent de fonctionner.
NES pour Jackson la branche 2.x pour l'ensemble des artefacts « core », « dataformat », « datatype », « module » et « integration » — et pas seulement jackson. Si vous utilisez une version antérieure, telle que la branche 2.10–2.12, veuillez contacter HeroDevs pour connaître la couverture.
NES for Jackson la version de la bibliothèque Jackson proposée par HeroDevs avec un support commercial, destinée aux organisations utilisant la version 2.x, désormais en fin de vie. Il s'agit d'un artefact Maven prêt à l'emploi qui fournit des correctifs réguliers pour les vulnérabilités et assure la conformité, permettant ainsi aux équipes de planifier et de mener à bien leur migration selon leur propre calendrier.
Nous contacter
Vous avez des questions sur l'assistance permanente pour votre bibliothèque open-source ? Nous sommes là pour vous aider !
Découvrez comment les produits NES de HeroDevs peuvent assurer la sécurité et la conformité de vos systèmes.
Découvrez comment nos solutions peuvent apporter de la valeur à votre organisation.
Obtenez des informations détaillées sur les prix, adaptées à vos besoins.
Restez informé des dernières mises à jour en matière de sécurité et de conformité de Java et de la JVM
Voir tous les articles

.png)
