Même lorsque Quarkus arrivera en fin de vie, les CVE ne cesseront pas d'apparaître.
Never-Ending Support (NES) Quarkus garantit la sécurité, la conformité et la préparation à l'audit de vos services Java natifs Kubernetes, même après la fin de vie de votre version. Lorsque vous êtes limité à Quarkus 2.16 ou 3.20, NES fournit à votre équipe de sécurité une version prise en charge, ce qui vous permet de contrôler le niveau de sécurité, le calendrier de mise à niveau et l'affectation des ressources techniques.
RECONNU PAR LES GRANDES ENTREPRISES

Sécurité, conformité et continuité : des défis à relever ensemble
Quarkus publie une nouvelle version environ tous les mois, et chaque branche non LTS cesse de bénéficier des correctifs de la communauté dès la sortie de la version suivante. Même les branches LTS ne bénéficient d’un support actif que pendant environ un an. À moins de suivre chaque nouvelle version, vos services se retrouvent rapidement sur une version en fin de vie, et les CVE qui s’ensuivent ne sont pas corrigées, tandis que les scanners signalent chaque version. NES pour Quarkus est une version prise en charge de la branche 2.16 ou 3.20 que vous utilisez déjà.
Sécurité
Le risque : Quarkus se situe à la périphérie du réseau et gère le trafic HTTP, REST et d’authentification. Lorsque votre version arrive en fin de vie (EOL), aucune correction en amont n’est possible.
Les correctifs CVE, tous niveaux de gravité confondus, sont appliqués à l’ensemble de votre gamme de versions en fin de vie, ce qui met fin à la vulnérabilité exploitée par les attaques HTTP, celles visant les politiques de sécurité et celles liées à la désérialisation.
La mise à disposition des correctifs dans le cadre du SLA est liée au niveau de gravité
Corrections apportées à votre version exacte 2.16 ou 3.20
Fonctionnalités de base, HTTP, REST, sécurité et gestion des données
Conformité
Le risque : une anomalie d'audit non résolue, sans plan de correction prévu par les normes CRA, DORA, NIS2, PCI DSS et SOC 2.
Chaque version est livrée avec des déclarations VEX exploitables par les auditeurs et les outils de scan, ce qui vous permet de disposer de preuves documentées pour résoudre l'anomalie liée aux dépendances non prises en charge.
Conformité aux normes SOC 2, PCI DSS, HIPAA et FedRAMP
DORA, NIS2, la loi européenne sur la cyber-résilience, et bien d'autres encore
Déclarations VEX et historique des correctifs documenté
Continuité des activités
Le risque : une mise à jour forcée de la version majeure de Quarkus peut entraîner la rupture des contrats Jakarta EE, MicroProfile et d'extension dont dépendent vos services.
Un fichier quarkus-bom prêt à l'emploi que vous pouvez remplacer lors d'un changement de version sans modifier le code de votre application, ce qui vous permet de migrer vos applications Quarkus selon votre propre calendrier.
Il faudra des mois, voire des années, pour mener à bien cette migration
Pas de réécriture, pas d'extensions défectueuses
Une fraction du coût d'une migration forcée de l'environnement

PARTENARIAT ÉCOSYSTÉMIQUE
La Fondation Commonhaus est une structure à but non lucratif qui héberge des projets open source gérés par la communauté, dont Jackson, afin d’assurer leur gestion et leur pérennité à long terme. HeroDevs est fier d’être membre fondateur de l’Initiative pour la pérennité de l’open source (OSSI) de la Fondation Commonhaus. HeroDevs a collaboré avec Commonhaus pour mettre en place cette initiative axée sur la sécurité et fournit Never-Ending Support (NES) les versions en fin de vie de Jacksonet d’autres projets open source gérés par la Fondation Commonhaus.
Ce qui change le jour où vous installez NES.
Avant — la douleur
Vos services s'exécutent sur une ligne Quarkus en fin de vie (EOL)
Les scanners signalent chaque version. Aucun correctif n'est prévu en amont. Lorsqu'un nouveau CVE lié au protocole HTTP ou à la politique de sécurité est publié, la fenêtre entre la divulgation et l'exploitation reste ouverte jusqu'à ce que vous effectuiez la migration.
Après — avec HeroDevs
NES rétablit votre chemin d'accès aux patches
Une mise à jour de version de Quarkus-Bom réintègre les correctifs CVE pris en charge par le SLA pour toutes les extensions concernées, sans modifier vos API ni le comportement de votre application.
Avant — la douleur
Une question en suspens, sans réponse
L'audit interne, la norme SOC 2 et un questionnaire de sécurité destiné aux clients signalent tous que votre version de quarkus-core est en fin de vie (EOL). Il n'existe aucune solution de remédiation, si ce n'est souscrire à un abonnement ou procéder à une mise à niveau précipitée — et aucune réponse défendable à fournir aux auditeurs.
Après — avec HeroDevs
Les résultats sont clairs, les questionnaires se répondent d'eux-mêmes
Une version identifiée, prise en charge par le fournisseur, assortie d'accords de niveau de service (SLA) fermes et de déclarations VEX. Les scanners cessent de signaler les vulnérabilités CVE et vous disposez d'un environnement d'exécution conforme aux normes PCI DSS, HIPAA, SOC 2, DORA et NIS2.
Avant — la douleur
La cadence des mises à jour par rapport à la feuille de route
Le passage à une nouvelle version de Quarkus peut entraîner des modifications au niveau de Jakarta EE, de MicroProfile et des extensions, susceptibles de perturber le fonctionnement de vos services. Se plier au rythme mensuel des mises à jour — ou effectuer un passage précipité vers une version LTS — détourne les ingénieurs de leur feuille de route.
Après — avec HeroDevs
Migrer selon vos propres conditions, et non selon un rythme imposé
Une nomenclature prête à l'emploi — aucune modification du code n'est nécessaire. Les équipes disposent ainsi d'une marge de manœuvre suffisante pour planifier une mise à niveau en bonne et due forme, tandis que la ligne qu'elles exploitent reste sécurisée, conforme et stable.
Pas seulement quarkus-core.
NES pour Quarkus couvre les extensions dont dépendent concrètement la plupart des services : le runtime et le cœur CDI, les couches HTTP, REST et de messagerie, ainsi que les extensions de sécurité, d'identité et de persistance.
Noyau et environnement d'exécution
Le moteur
quarkus-core
quarkus-arc (CDI)
quarkus-vertx
bootstrap
HTTP, REST et messagerie
La limite
quarkus-rest
quarkus-resteasy
quarkus-vertx-http
quarkus-grpc
quarkus-rest-client
smallrye-messagerie-réactive
Sécurité, données et plateforme
La colle
quarkus-sécurité
quarkus-oidc
quarkus-smallrye-jwt
hibernate
quarkus-agroal
postgresql
Facile à mettre en place, sans interruption de service
Ajouter le registre
Enregistrez registry.herodevs.io en tant que référentiel Maven dans votre fichier pom.xml ou settings.xml.
Configurez votre jeton
Ajoutez votre jeton d'authentification HeroDevs au fichier settings.xml afin que la compilation puisse récupérer les artefacts corrigés.
Modifier la nomenclature
Lancez « quarkus-bom » sur la version -nes, puis effectuez une nouvelle compilation. Aucune modification du code de l'application n'est nécessaire.
Passage aux scanners
Mises à jour régulières et assistance commerciale assurée — les vulnérabilités CVE identifiées sur Quarkus, dont le cycle de vie est terminé, sont donc corrigées.
Une réponse solide pour chaque norme, cadre ou réglementation
Les logiciels en fin de vie (EOL) compromettent les attentes en matière de gestion des correctifs dans le cadre des réglementations internationales. NES vous propose une version maintenue et prise en charge par le fournisseur, assortie de contrats de niveau de service (SLA) garantis et d'un historique documenté des correctifs, afin de démontrer votre conformité aux auditeurs et aux autorités de régulation.
PCI DSS
La exigence 6.3.3 impose que les vulnérabilités connues de niveau « critique » et « haute gravité » soient corrigées dans un délai de 30 jours. L'utilisation d'une version de Quarkus en fin de vie (EOL) sans correctif en amont vous met en situation de non-conformité. NES rétablit la chaîne de correctifs.
HIPAA
Les infrastructures non prises en charge compliquent la mise en place de mesures de sécurité adéquates pour les systèmes traitant des données de santé électroniques protégées (ePHI). NES assure une maintenance active et une réduction des risques.
SOC 2
Les critères relatifs aux services de confiance exigent une correction rapide des vulnérabilités et une gestion efficace des correctifs. Les dépendances en fin de vie (EOL) donnent lieu à des constatations significatives lors des audits, à moins qu’il n’existe une solution de remplacement. NES constitue cette solution de remplacement.
NIS2
L'article 21 traite de la gestion des correctifs, des vulnérabilités et de la chaîne d'approvisionnement. L'utilisation de logiciels en fin de vie (EOL) sans support technique continu présente un risque que la directive NIS2 attend des opérateurs qu'ils s'efforcent activement d'atténuer.
DORA
DORA considère les logiciels en fin de vie (EOL) comme une faille de résilience pour les actifs informatiques financiers. NES vous propose une version maintenue et un programme documenté de gestion des correctifs.
Loi sur la cyber-résilience
Assure la sécurité tout au long du cycle de vie logiciel des produits comportant des éléments numériques. NES vous fournit une version maintenue et corrigée de votre gamme Quarkus en fin de vie (EOL) pendant la période de couverture.
NIST CSF 2.0
La directive PR.PS-02 impose aux organisations de maintenir activement à jour ou de supprimer les logiciels vulnérables en fonction des risques. NES permet de se conformer à cette directive sans mise à jour forcée.
FedRAMP
La surveillance continue implique la correction des failles selon une cadence définie. Une version corrigée et prise en charge par le fournisseur fournit à votre responsable de la sécurité des systèmes d'information (ISSO) une procédure de correction documentée lui permettant de justifier le maintien de Quarkus en fin de vie (EOL) dans le périmètre d'autorisation.
Contrats commerciaux
Les mesures de gestion des vulnérabilités et des configurations impliquent d'identifier les vulnérabilités techniques et de veiller à ce que les logiciels respectent les normes de sécurité. NES rétablit cette conformité pour les logiciels en fin de vie.
Conçu par des ingénieurs en sécurité qui corrigent les failles des logiciels que vous utilisez.
Chaque version de NES for Quarkus corrige les vulnérabilités CVE connues pour les extensions prises en charge dans votre branche de version, et est fournie avec des déclarations VEX et des notes de version correspondant aux alertes signalées par votre outil de scan.
HeroDevs est une autorité de numérotation CVE et un membre fondateur de l’initiative Commonhaus Open Source Sustainability Initiative, qui finance les responsables de maintenance et les écosystèmes qui font avancer l’open source Java.
Autorité chargée de la numérotation CVE
Découverte et publication des CVE dans les produits pris en charge par HeroDevs.
VEX à chaque montage
Lecture automatique par vos scanners
Accords de niveau de service (SLA) conclus
Déploiement de correctifs en fonction du niveau de gravité
Questions fréquemment posées
NES est conçu pour vous offrir une assistance complète tant que vous choisissez d'utiliser la version couverte. De nombreux clients s'en servent comme étape intermédiaire avant une mise à niveau prévue. D'autres continuent d'utiliser NES indéfiniment, car cette version répond à leurs besoins. Ces deux cas d'utilisation sont pris en charge.
Oui. NES vous fournit une version maintenue, assortie de SLA garantis, de déclarations VEX et d’un historique documenté des correctifs. Ensemble, ces éléments fournissent aux auditeurs les preuves qu’ils attendent pour se conformer, entre autres, à la norme PCI DSS 6.3.3, aux critères SOC 2 Trust Services, à l’article 21 de la norme NIS2, à la loi DORA et à la loi européenne sur la cyber-résilience.
Cela signifie que vous devez modifier la version de quarkus-bom en utilisant la balise NES, puis relancer la compilation. Le code de votre application, ses extensions et ses API restent inchangés. La compilation produit le même comportement d'exécution que votre version actuelle de Quarkus en fin de vie (EOL), avec les correctifs CVE appliqués.
NES pour Quarkus prend en charge les versions Quarkus 2.16.x et Quarkus 3.20.x, les deux branches LTS en fin de vie (EOL) les plus largement déployées. Si vos services fonctionnent sur une autre branche Quarkus, contactez-nous pour discuter de la prise en charge.
NES for Quarkus est une version prise en charge d'une branche de Quarkus en fin de vie, publiée par HeroDevs. Elle intègre des correctifs CVE conformes aux SLA signés, des déclarations VEX exploitables par les auditeurs et les outils d'analyse, ainsi qu'un fichier quarkus-bom prêt à l'emploi que votre équipe peut remplacer sans modifier le code de l'application.
Nous contacter
Vous avez des questions sur l'assistance permanente pour votre bibliothèque open-source ? Nous sommes là pour vous aider !
Découvrez comment les produits NES de HeroDevs peuvent assurer la sécurité et la conformité de vos systèmes.
Découvrez comment nos solutions peuvent apporter de la valeur à votre organisation.
Obtenez des informations détaillées sur les prix, adaptées à vos besoins.
Restez informé des dernières mises à jour en matière de sécurité et de conformité de Java et de la JVM
Voir tous les articles

.png)
