Quand Jackson atteint sa fin de vie, les CVE ne s'arrêtent pas pour autant.

Never-Ending Support (NES) Jackson garantit que l'analyseur JSON, au cœur de votre pile Java, reste sécurisé, conforme et prêt pour les audits, même après la fin de vie du produit. Le NES redonne à votre équipe de sécurité, à vos ingénieurs et à votre direction ce qu'ils avaient perdu à la fin de vie du produit : la capacité de contrôler leur propre posture de sécurité, leur propre calendrier et les priorités de l'entreprise.

RECONNU PAR LES GRANDES ENTREPRISES

Logo GoogleLogo MicrosoftLogo de la FinraLogo de la banque Santander
Logo HitachiLogo de WorkdayLogo Dropbox

Sécurité, conformité et continuité : des défis à relever ensemble

Jackson le sérialiseur JSON par défaut dans Spring et est présent dans presque tous les services JVM que vous déployez — mais les branches 2.13.x, 2.14.x et 2.15.x ne bénéficient plus de correctifs en amont ; par conséquent, les nouvelles vulnérabilités CVE ne sont pas corrigées et les scanners signalent chaque version comme vulnérable. NES for Jackson une version sécurisée des séries 2.13.x, 2.14.x et 2.15.x, qui intègre les correctifs des CVE de tous les niveaux de gravité pour la série 2.x en fin de vie (EOL).

Sécurité

Le risque : la désérialisation est une cible privilégiée — et la fin de vie (EOL) signifie qu’aucun correctif n’est disponible en amont.

‍Correctionsdes vulnérabilités CVEde tous les niveaux de gravité sur la branche 2.x en fin de vie — ce qui met fin à la faille sur laquelle reposent les attaques par désérialisation.

La mise à disposition des correctifs dans le cadre du SLA est liée au niveau de gravité

Corrections rétroactives pour les versions 2.13.x, 2.14.x et 2.15.x

Couverture des éléments fondamentaux, des formats de données, des types de données et des modules

Conformité

Le risque : une anomalie d'audit non résolue sans plan de correction prévu dans le cadre des normes CRA, PCI DSS, SOC 2, DORA et NIS2.

Les scanners cessent de signaler les CVE dans la version EOL Jackson chaque version est livrée avec une instruction VEX, ce qui permet de supprimer de votre rapport les anomalies liées aux dépendances non prises en charge.

Conformité aux normes SOC 2, PCI DSS, HIPAA et FedRAMP

DORA, NIS2, la loi européenne sur la cyber-résilience, et bien d'autres encore

Déclarations VEX et historique des correctifs documenté

Continuité des activités

Le risque : une mise à jour précipitée peut perturber le fonctionnement des sérialiseurs personnalisés et des contrats de transmission.

Un artefact Maven prêt à l'emploi qui s'intègre simplement en modifiant une seule coordonnée, sans aucune modification du code de l'application — vous permettant ainsi de migrer Jackson à votre rythme.

Il faudra des mois, voire des années, pour mener à bien cette migration

Pas de réécriture, pas de sérialiseurs défectueux

Une fraction du coût de la migration

« Nous avions trois options : 1) migrer vers un nouveau framework (solution coûteuse, chronophage et perturbatrice pour notre feuille de route), 2) assurer nous-mêmes la maintenance du framework (ce qui aurait détourné des ressources de développement), 3) faire appel à HeroDevs pour bénéficier d’un support continu sous forme d’abonnement (dépense annuelle prévisible, sans impact sur le plan de développement)… La mise en œuvre a été extrêmement simple. Grâce à l’intégration des bibliothèques HeroDevs, 100 % des vulnérabilités connues du AngularJS ont été corrigées, ce qui a permis d’obtenir un scan sans faille via Burp Suite lors de notre POA&M mensuel. »

— ViTel Net
Informatique de santé d'entreprise

« En tirant parti du support étendu proposé par HeroDevs, nous avons pu atténuer les risques de sécurité, assurer la poursuite du fonctionnement en toute sécurité de l’application existante et gagner un temps précieux pour élaborer une stratégie de migration à long terme plus durable — le tout sans compromettre ni l’expérience client ni le respect des exigences réglementaires. »

— Sanlam Private Wealth
Services financiers

« Nous étions confrontés au dilemme classique en matière de technologie : consacrer un temps précieux à la mise à jour d’un système obsolète que nous avions déjà prévu de remplacer, ou accepter un risque de sécurité croissant. Aucune de ces deux options ne correspondait à nos objectifs commerciaux. … Grâce à NES, nous avons pu maintenir notre niveau de sécurité sans compromettre notre feuille de route stratégique, tout en réalisant des économies substantielles. »

— Statista
Markus Wolf, architecte

« Imaginez que vous deviez dire à vos clients que vous ne pouvez leur proposer aucune des fonctionnalités qu’ils réclament, car vous allez passer l’année à réécrire du code qui fonctionne déjà. Ce n’est pas le genre de conversation qu’un directeur technique souhaite avoir… L’impact [de NES] va bien au-delà de la simple pérennité de notre activité : nous avons pu investir dans une bibliothèque de composants entièrement nouvelle, améliorer l’expérience utilisateur et proposer des fonctionnalités qui contribuent directement à l’acquisition de nouveaux clients. Cela n’aurait pas été possible si nous étions restés bloqués en mode migration. »

— Keelvar
Valentina Roques, directrice technique
Fondation Commonhaus

PARTENARIAT ÉCOSYSTÉMIQUE

La Fondation Commonhaus est une structure à but non lucratif qui héberge des projets open source gérés par la communauté, dont Jackson, afin d’assurer leur gestion et leur pérennité à long terme. HeroDevs est fier d’être membre fondateur de l’Initiative pour la pérennité de l’open source (OSSI) de la Fondation Commonhaus. HeroDevs a collaboré avec Commonhaus pour mettre en place cette initiative axée sur la sécurité et fournit Never-Ending Support (NES) les versions en fin de vie de Jacksonet d’autres projets open source gérés par la Fondation Commonhaus.

Ce qui change le jour où vous installez NES.

Avant — la douleur

Chaque service analyse le JSON à l'aide d'un EOL Jackson

Les scanners signalent chaque version, aucun correctif n'est prévu en amont, et lorsqu'un nouveau CVE lié à la désérialisation est publié, la fenêtre entre la divulgation et l'exploitation est grande ouverte.

Après — avec HeroDevs

Le parseur passe de l'état « exposé » à l'état « défendu »

Une modification d'une seule coordonnée dans la version NES permet de reprendre l'application des correctifs CVE basés sur SLA pour les versions 2.13.x, 2.14.x et 2.15.x, sans modification de l'API publique ni du format de transmission.

Avant — la douleur

Une question en suspens, sans réponse

L'audit interne, la norme SOC 2 et un questionnaire sur la sécurité destiné aux clients signalent tous que « jackson » est en fin de vie (EOL). Il n'existe aucune solution corrective ni aucune réponse défendable à fournir aux auditeurs.

Après — avec HeroDevs

Les résultats sont clairs, les questionnaires se répondent d'eux-mêmes

Une version identifiée, prise en charge par le fournisseur, assortie d'accords de niveau de service (SLA) fermes et de déclarations VEX. Les scanners cessent de signaler les vulnérabilités CVE et vous disposez d'un environnement d'exécution conforme aux normes PCI DSS, HIPAA, SOC 2, DORA et NIS2.

Avant — la douleur

Le calendrier de fin de vie (EOL) par rapport à la feuille de route

La modification Jackson peut perturber le fonctionnement des sérialiseurs personnalisés et des contrats « on-the-wire » sur des centaines de services. Une migration précipitée risque de provoquer des incidents en production et d'éloigner les ingénieurs de leur feuille de route.

Après — avec HeroDevs

Migrer à votre rythme, sans vous laisser dicter par le temps

Une mise à niveau directe, octet par octet — aucune modification du code n'est nécessaire. Les équipes disposent ainsi d'une marge de manœuvre suffisante pour planifier une mise à niveau en bonne et due forme, tandis que les versions 2.13.x, 2.14.x et 2.15.x restent sécurisées, conformes et stables.

Véritables vulnérabilités CVE, corrigées dans les versions EOL 2.13.x, 2.14.x et 2.15.x.

HeroDevs est une autorité de numérotation CVE (CNA) agréée. Les avis de sécurité ci-dessous sont extraits de l'ensemble de données EOL de HeroDevs concernant les versions Jackson .13.x, 2.14.x et 2.15.x Jackson . — Si vous utilisez encore ces versions aujourd'hui, vos services y sont exposés. Passez à NES pour bénéficier immédiatement de correctifs contenant des solutions aux CVE connues. Chaque correctif est publié, à raison d’un avis par entrée.
Sévérité
CVE
Catégorie
Version(s) affectée(s)
Date de publication
Moyen
Déni de service
<20.20.2 >=22.0.0 <22.22.2 >=24.0.0 <24.14.1 >=25.0.0 <25.8.2
13 avril 2026
Haut
Consommation incontrôlée des ressources
v4 < v20.20.0, v22 < v22.22.0, v24 < v24.13.0, v25 < v25.3.0
13 janvier 2026
Haut
Traversée du chemin
4.0 < 20.19.4, 22 < 22.17.1, 24 < 24.4.1
15 juillet 2025
Moyen
Contrebande de requêtes HTTP
4.0 < 20.19.1
14 mai 2025
Haut
Faiblesse cryptographique
4.0 < 20.19.1, 22 < 22.15.0, 24 < 24.0.1
14 mai 2025
Moyen
Déni de service
4.0 < 18.20.6, 20 < 20.18.2
7 février 2025
Moyen
Traversée du chemin
4.0 < 18.20.6, 20 < 20.18.2
28 janvier 2025
Haut
Injection de commande
4.0 <= 18.20.2, 20 < 20.12.2
9 janvier 2025
Haut
Contrebande de requêtes HTTP
>=16.0.0 <16.20.1, >=18.0.0 <18.16.1, >=20.0.0 <20.3.1
16 octobre 2024
Faible
Exposition à l'information
>=16.0.0 <=16.20.2
15 octobre 2024
Moyen
Déni de service
>=14.0.0 <=14.21.3, >=16.0.0 <=16.20.2
15 octobre 2024
Moyen
Faiblesse cryptographique
4.0 < 18.19.1, 20 < 20.11.1
7 septembre 2024
Haut
Injection de commande
4.0 < 18.20.4, 20.0 < 20.15.1, 22.0< 22.4.1
7 septembre 2024
Moyen
Contrebande de requêtes HTTP
4.0 < 18.20.1, 20 < 20.12.1
7 mai 2024
Moyen
Contrebande de requêtes HTTP
<21.7.2, <20.12.1, <v18.20.1, <= 16.20.2, <=v14.21.3, <= v12.22.12
1er mai 2024
Haut
Consommation incontrôlée des ressources
4 <= 18.20.0, 20 <= 20.12.0
9 avril 2024
Haut
L'escalade des privilèges
4.0 < 18.19.1, 20 < 20.11.1
20 février 2024
Moyen
Déni de service
<21.6.2, <20.11.1, <v18.19.1, <= 16.20.2
14 février 2024
Haut
Déni de service
<21.6.2, <20.11.1, <v18.19.1, <= 16.20.2, <=v14.21.3, <= v12.22.12
14 février 2024
Moyen
Faiblesse cryptographique
4.0 < 16.20.1, 18 < 18.16.1, 20 < 20.3.1
28 novembre 2023
Moyen
Vérification insuffisante de l'authenticité des données
4.0 <= 18.18.1, 20 < 20.8.1
18 octobre 2023
Moyen
L'escalade des privilèges
4 <= 16.20.1, 0 <= 18.17.0, 0 <= 20.5.0
24 août 2023
Moyen
Contrebande de requêtes HTTP
4.0 < 16.20.1, 18 < 18.16.1, 20 < 20.3.1
30 juin 2023
Moyen
Contrebande de requêtes HTTP
4.0 < 14.20.1, 16 < 16.17.1, 18 < 18.9.1
5 décembre 2022
Haut
Injection de ressources
4.0 < 14.20.0, 16 < 16.20.0, 18 < 18.5.0
14 juillet 2022
Moyen
Contrebande de requêtes HTTP
4.0 < 14.20.1, 16 < 16.17.1, 18 < 18.9.1
14 juillet 2022
Haut
Contournement de l'autorisation
4.0 < 14.20.1, 16 < 16.17.1, 18 < 18.9.1
14 juillet 2022
Moyen
Contrebande de requêtes HTTP
4.0 < 14.20.0, 16 < 16.20.0, 18 < 18.5.0
14 juillet 2022
Moyen
Contrebande de requêtes HTTP
4.0 < 14.20.1, 16 < 16.17.1, 18 < 18.9.1
14 juillet 2022

Plus de 10 Jackson apportés Jackson dans toute la gamme 2.x.

Sévérité
ID
Catégorie
Version(s) affectée(s)
Date de publication
Moyen
Contournement de l'autorisation
>=2.8.0 <2.18.9, >=2.19.0 <2.21.5, >=3.1.0 <3.1.4
23 juin 2026
Moyen
Contournement de l'autorisation
<2.18.4, >=2.21.0 <2.21.4, >=3.0.0 <3.1.4
23 juin 2026
Moyen
Contournement de l'autorisation
>=2.9.0 <2.18.8, >=2.19.0 <2.21.4, >=3.0.0 <3.1.4
23 juin 2026
Moyen
Déni de service
>=2.10.0 <2.14.0
22 juin 2026
Moyen
Falsification de requête côté serveur
>=2.0.0 <2.18.8, >=2.19.0 <2.21.4, >=3.0.0 <3.1.4
22 juin 2026
Haut
Exécution de code à distance
>=2.10.0 <2.18.8, >=2.19.0 <2.21.4, >=3.0.0 <3.1.4
22 juin 2026
Haut
Exécution de code à distance
>=2.10.0 <2.18.8, >=2.19.0 <2.21.4, >=3.0.0 <3.1.4
22 juin 2026
Haut
Déni de service
<2.15.0
13 octobre 2025
Moyen
Déni de service
<=2.15.2
13 octobre 2025
Haut
Déni de service
<2.15.0
13 octobre 2025

Pas seulement jackson.

NES pour Jackson les éléments que vos services utilisent concrètement : le noyau, les formats de données, les types de données, ainsi que les modules et les intégrations qui relient Jackson reste de votre pile technologique.

Core et Databind

Le moteur

jackson

jackson

annotations jackson

jackson

Formats et types

Au-delà de JSON

format_de_données-xml

format de données - YAML

format_de_données-csv

format_de_données-cbor

type de données-jsr310

type de données - JDK 8

Modules et intégrations

La colle

module-kotlin

module-scala

module-afterburner

module-blackbird

jaxrs-json-provider

jr-objects

Facile à mettre en place, sans interruption de service.

pom.xml
<dependency>
<groupId>com.herodevs.nes.fasterxml.jackson.core</groupId>
<artifactId>jackson-databind</artifactId>
<version>2.13.5-jackson-databind-2.13.6</version>
</dependency>
1

Ajouter le registre

Enregistrez registry.herodevs.io en tant que référentiel Maven dans votre fichier pom.xml ou settings.xml.

2

Configurez votre jeton

Ajoutez votre jeton d'authentification HeroDevs au fichier settings.xml afin que la compilation puisse récupérer les artefacts corrigés.

3

Modifier les coordonnées

Passez à la version « -nes » et relancez la compilation. Aucune modification du code de l'application n'est nécessaire.

4

Passage aux scanners

Mises à jour régulières et assistance commerciale assurée — les vulnérabilités CVE concernant la version Jackson en fin de vie Jackson donc Jackson .

Une réponse solide pour chaque norme, cadre ou réglementation

Les logiciels en fin de vie (EOL) compromettent les attentes en matière de gestion des correctifs dans le cadre des réglementations internationales. NES vous propose une version maintenue et prise en charge par le fournisseur, assortie de contrats de niveau de service (SLA) garantis et d'un historique documenté des correctifs, afin de démontrer votre conformité aux auditeurs et aux autorités de régulation.

PCI DSS

États-Unis

La exigence 6.3.3 stipule que les vulnérabilités connues comme critiques ou de gravité élevée doivent faire l'objet d'un correctif dans un délai de 30 jours. La fin de vie (EOL) Jackson correctif entraîne une non-conformité immédiate — NES rétablit la procédure de correction.

HIPAA

États-Unis

Les bibliothèques non prises en charge compliquent la mise en place de mesures de sécurité adéquates pour les systèmes traitant des données ePHI. NES assure une maintenance active et contribue à la réduction des risques.

SOC 2

Mondial

Les critères relatifs aux services de confiance exigent une correction rapide des vulnérabilités et une gestion efficace des correctifs. Les dépendances en fin de vie (EOL) ne permettent pas d'obtenir la certification si elles ne bénéficient plus d'aucun support.

NIS2

UE

L'article 21 traite de la gestion des correctifs, des vulnérabilités et de la chaîne d'approvisionnement. Un logiciel en fin de vie (EOL) est considéré comme non conforme dès lors qu'il présente un risque.

DORA

UE

Considère les logiciels en fin de vie (EOL) comme une faille de résilience pour les actifs informatiques et de communication financiers. Le NES met en œuvre un programme documenté de gestion des correctifs.

Loi sur la cyber-résilience

UE

Assure la sécurité tout au long du cycle de vie du logiciel. NES garantit une gestion efficace de la bibliothèque pendant toute la durée de la prise en charge.

NIST CSF 2.0

États-Unis

La directive PR.PS-02 impose aux organisations de maintenir activement à jour ou de supprimer les logiciels vulnérables en fonction des risques. NES permet de se conformer à cette directive sans mise à jour forcée.

FedRAMP

États-Unis

La surveillance continue implique la correction des failles selon une fréquence définie. Une version corrigée et prise en charge par le fournisseur permet de maintenir Jackson (en fin de vie) Jackson les limites définies.

Contrats commerciaux

Mondial

Les mesures de gestion des vulnérabilités et des configurations impliquent d'identifier les vulnérabilités techniques et de veiller à ce que les logiciels respectent les normes de sécurité. NES rétablit cette conformité pour les logiciels en fin de vie.

Conçu par des ingénieurs en sécurité. Soutenu par un CNA.

HeroDevs est une autorité de numérotation CVE agréée, habilitée à détecter et à attribuer des identifiants CVE. Chaque Jackson NES for Jackson remet à zéro le nombre de CVE connus pour les artefacts concernés et est livrée avec des déclarations VEX et des notes de mise à jour qui renvoient directement aux avis de sécurité que vous devez corriger — ce qui permet de supprimer de votre rapport les dépendances non prises en charge.

HeroDevs est également un contributeur de longue date à l'open source, soutenant les mainteneurs et les écosystèmes qui Jackson des logiciels tels que Jackson .

Autorité chargée de la numérotation CVE

Découverte et publication des CVE

Déclarations VEX à chaque compilation

Découverte et publication des CVE

Accords de niveau de service (SLA) conclus

Déploiement de correctifs en fonction du niveau de gravité

Questions fréquemment posées

La NES constitue-t-elle une alternative durable à la mise à niveau ?
Le programme NES pour Jackson -t-il le respect des règles ?
Comment est-il livré ?
Que signifie « remplacement direct » pour Jackson en fin de vie ?
Quelle Jackson est prise en charge par la NES ?
Qu'est-ce que le programme « Never-Ending Support (NES) Jackson?

Nous contacter

Vous avez des questions sur l'assistance permanente pour votre bibliothèque open-source ? Nous sommes là pour vous aider !

Découvrez comment les produits NES de HeroDevs peuvent assurer la sécurité et la conformité de vos systèmes.

Découvrez comment nos solutions peuvent apporter de la valeur à votre organisation.

Obtenez des informations détaillées sur les prix, adaptées à vos besoins.

Logo GoogleLogo LillyLogo AbbottLogo en forme de boîteLogo EGLogo HitachiLogo DropboxLogo du NHSLogo de WorkdayLogo de la FinraLogo MicrosoftLogo Santander
Parler à un expert

En envoyant ce formulaire, je confirme avoir pris connaissance de notre Politique de confidentialité.

Nous vous remercions ! Votre demande a bien été reçue !
Oups ! Un problème s'est produit lors de l'envoi du formulaire.