Même lorsque Quarkus arrivera en fin de vie, les CVE ne cesseront pas d'apparaître.

Never-Ending Support (NES) Quarkus garantit la sécurité, la conformité et la préparation à l'audit de vos services Java natifs Kubernetes, même après la fin de vie de votre version. Lorsque vous êtes limité à Quarkus 2.16 ou 3.20, NES fournit à votre équipe de sécurité une version prise en charge, ce qui vous permet de contrôler le niveau de sécurité, le calendrier de mise à niveau et l'affectation des ressources techniques.

RECONNU PAR LES GRANDES ENTREPRISES

Logo GoogleLogo MicrosoftLogo de la FinraLogo de la banque Santander
Logo HitachiLogo de WorkdayLogo Dropbox

Sécurité, conformité et continuité : des défis à relever ensemble

Quarkus publie une nouvelle version environ tous les mois, et chaque branche non LTS cesse de bénéficier des correctifs de la communauté dès la sortie de la version suivante. Même les branches LTS ne bénéficient d’un support actif que pendant environ un an. À moins de suivre chaque nouvelle version, vos services se retrouvent rapidement sur une version en fin de vie, et les CVE qui s’ensuivent ne sont pas corrigées, tandis que les scanners signalent chaque version. NES pour Quarkus est une version prise en charge de la branche 2.16 ou 3.20 que vous utilisez déjà.

Sécurité

Le risque : Quarkus se situe à la périphérie du réseau et gère le trafic HTTP, REST et d’authentification. Lorsque votre version arrive en fin de vie (EOL), aucune correction en amont n’est possible.

Les correctifs CVE, tous niveaux de gravité confondus, sont appliqués à l’ensemble de votre gamme de versions en fin de vie, ce qui met fin à la vulnérabilité exploitée par les attaques HTTP, celles visant les politiques de sécurité et celles liées à la désérialisation.

La mise à disposition des correctifs dans le cadre du SLA est liée au niveau de gravité

Corrections apportées à votre version exacte 2.16 ou 3.20

Fonctionnalités de base, HTTP, REST, sécurité et gestion des données

Conformité

Le risque : une anomalie d'audit non résolue, sans plan de correction prévu par les normes CRA, DORA, NIS2, PCI DSS et SOC 2.

Chaque version est livrée avec des déclarations VEX exploitables par les auditeurs et les outils de scan, ce qui vous permet de disposer de preuves documentées pour résoudre l'anomalie liée aux dépendances non prises en charge.

Conformité aux normes SOC 2, PCI DSS, HIPAA et FedRAMP

DORA, NIS2, la loi européenne sur la cyber-résilience, et bien d'autres encore

Déclarations VEX et historique des correctifs documenté

Continuité des activités

Le risque : une mise à jour forcée de la version majeure de Quarkus peut entraîner la rupture des contrats Jakarta EE, MicroProfile et d'extension dont dépendent vos services.

Un fichier quarkus-bom prêt à l'emploi que vous pouvez remplacer lors d'un changement de version sans modifier le code de votre application, ce qui vous permet de migrer vos applications Quarkus selon votre propre calendrier.

Il faudra des mois, voire des années, pour mener à bien cette migration

Pas de réécriture, pas d'extensions défectueuses

Une fraction du coût d'une migration forcée de l'environnement

« Imaginez que vous deviez dire à vos clients que vous ne pouvez leur proposer aucune des fonctionnalités qu’ils réclament, car vous allez passer l’année à réécrire du code qui fonctionne déjà. Ce n’est pas le genre de conversation qu’un directeur technique souhaite avoir… L’impact [de NES] va bien au-delà de la simple pérennité de notre activité : nous avons pu investir dans une bibliothèque de composants entièrement nouvelle, améliorer l’expérience utilisateur et proposer des fonctionnalités qui contribuent directement à l’acquisition de nouveaux clients. Cela n’aurait pas été possible si nous étions restés bloqués en mode migration. »

— Keelvar
Valentina Roques, directrice technique

« En tirant parti du support étendu proposé par HeroDevs, nous avons pu atténuer les risques de sécurité, assurer la poursuite du fonctionnement en toute sécurité de l’application existante et gagner un temps précieux pour élaborer une stratégie de migration à long terme plus durable — le tout sans compromettre ni l’expérience client ni le respect des exigences réglementaires. »

— Sanlam Private Wealth
Services financiers

« Nous étions confrontés au dilemme classique en matière de technologie : consacrer un temps précieux à la mise à jour d’un système obsolète que nous avions déjà prévu de remplacer, ou accepter un risque de sécurité croissant. Aucune de ces deux options ne correspondait à nos objectifs commerciaux. … Grâce à NES, nous avons pu maintenir notre niveau de sécurité sans compromettre notre feuille de route stratégique, tout en réalisant des économies substantielles. »

— Statista
Markus Wolf, architecte
Fondation Commonhaus

PARTENARIAT ÉCOSYSTÉMIQUE

La Fondation Commonhaus est une structure à but non lucratif qui héberge des projets open source gérés par la communauté, dont Jackson, afin d’assurer leur gestion et leur pérennité à long terme. HeroDevs est fier d’être membre fondateur de l’Initiative pour la pérennité de l’open source (OSSI) de la Fondation Commonhaus. HeroDevs a collaboré avec Commonhaus pour mettre en place cette initiative axée sur la sécurité et fournit Never-Ending Support (NES) les versions en fin de vie de Jacksonet d’autres projets open source gérés par la Fondation Commonhaus.

Ce qui change le jour où vous installez NES.

Avant — la douleur

Vos services s'exécutent sur une ligne Quarkus en fin de vie (EOL)

Les scanners signalent chaque version. Aucun correctif n'est prévu en amont. Lorsqu'un nouveau CVE lié au protocole HTTP ou à la politique de sécurité est publié, la fenêtre entre la divulgation et l'exploitation reste ouverte jusqu'à ce que vous effectuiez la migration.

Après — avec HeroDevs

NES rétablit votre chemin d'accès aux patches

Une mise à jour de version de Quarkus-Bom réintègre les correctifs CVE pris en charge par le SLA pour toutes les extensions concernées, sans modifier vos API ni le comportement de votre application.

Avant — la douleur

Une question en suspens, sans réponse

L'audit interne, la norme SOC 2 et un questionnaire de sécurité destiné aux clients signalent tous que votre version de quarkus-core est en fin de vie (EOL). Il n'existe aucune solution de remédiation, si ce n'est souscrire à un abonnement ou procéder à une mise à niveau précipitée — et aucune réponse défendable à fournir aux auditeurs.

Après — avec HeroDevs

Les résultats sont clairs, les questionnaires se répondent d'eux-mêmes

Une version identifiée, prise en charge par le fournisseur, assortie d'accords de niveau de service (SLA) fermes et de déclarations VEX. Les scanners cessent de signaler les vulnérabilités CVE et vous disposez d'un environnement d'exécution conforme aux normes PCI DSS, HIPAA, SOC 2, DORA et NIS2.

Avant — la douleur

La cadence des mises à jour par rapport à la feuille de route

Le passage à une nouvelle version de Quarkus peut entraîner des modifications au niveau de Jakarta EE, de MicroProfile et des extensions, susceptibles de perturber le fonctionnement de vos services. Se plier au rythme mensuel des mises à jour — ou effectuer un passage précipité vers une version LTS — détourne les ingénieurs de leur feuille de route.

Après — avec HeroDevs

Migrer selon vos propres conditions, et non selon un rythme imposé

Une nomenclature prête à l'emploi — aucune modification du code n'est nécessaire. Les équipes disposent ainsi d'une marge de manœuvre suffisante pour planifier une mise à niveau en bonne et due forme, tandis que la ligne qu'elles exploitent reste sécurisée, conforme et stable.

Pas seulement quarkus-core.

NES pour Quarkus couvre les extensions dont dépendent concrètement la plupart des services : le runtime et le cœur CDI, les couches HTTP, REST et de messagerie, ainsi que les extensions de sécurité, d'identité et de persistance.

Noyau et environnement d'exécution

Le moteur

quarkus-core

quarkus-arc (CDI)

quarkus-vertx

bootstrap

HTTP, REST et messagerie

La limite

quarkus-rest

quarkus-resteasy

quarkus-vertx-http

quarkus-grpc

quarkus-rest-client

smallrye-messagerie-réactive

Sécurité, données et plateforme

La colle

quarkus-sécurité

quarkus-oidc

quarkus-smallrye-jwt

hibernate

quarkus-agroal

postgresql

Facile à mettre en place, sans interruption de service

pom.xml
<dependencyManagement>
<dependencies>
<dependency>
<groupId>com.herodevs.nes.io.quarkus.platform</groupId>
<artifactId>quarkus-bom</artifactId>
<version>2.16.12-quarkus</version>
<type>pom</type> <scope>import</scope>
</dependency>
</dependencies>
</dependencyManagement>
1

Ajouter le registre

Enregistrez registry.herodevs.io en tant que référentiel Maven dans votre fichier pom.xml ou settings.xml.

2

Configurez votre jeton

Ajoutez votre jeton d'authentification HeroDevs au fichier settings.xml afin que la compilation puisse récupérer les artefacts corrigés.

3

Modifier la nomenclature

Lancez « quarkus-bom » sur la version -nes, puis effectuez une nouvelle compilation. Aucune modification du code de l'application n'est nécessaire.

4

Passage aux scanners

Mises à jour régulières et assistance commerciale assurée — les vulnérabilités CVE identifiées sur Quarkus, dont le cycle de vie est terminé, sont donc corrigées.

Une réponse solide pour chaque norme, cadre ou réglementation

Les logiciels en fin de vie (EOL) compromettent les attentes en matière de gestion des correctifs dans le cadre des réglementations internationales. NES vous propose une version maintenue et prise en charge par le fournisseur, assortie de contrats de niveau de service (SLA) garantis et d'un historique documenté des correctifs, afin de démontrer votre conformité aux auditeurs et aux autorités de régulation.

PCI DSS

États-Unis

La exigence 6.3.3 impose que les vulnérabilités connues de niveau « critique » et « haute gravité » soient corrigées dans un délai de 30 jours. L'utilisation d'une version de Quarkus en fin de vie (EOL) sans correctif en amont vous met en situation de non-conformité. NES rétablit la chaîne de correctifs.

HIPAA

États-Unis

Les infrastructures non prises en charge compliquent la mise en place de mesures de sécurité adéquates pour les systèmes traitant des données de santé électroniques protégées (ePHI). NES assure une maintenance active et une réduction des risques.

SOC 2

Mondial

Les critères relatifs aux services de confiance exigent une correction rapide des vulnérabilités et une gestion efficace des correctifs. Les dépendances en fin de vie (EOL) donnent lieu à des constatations significatives lors des audits, à moins qu’il n’existe une solution de remplacement. NES constitue cette solution de remplacement.

NIS2

UE

L'article 21 traite de la gestion des correctifs, des vulnérabilités et de la chaîne d'approvisionnement. L'utilisation de logiciels en fin de vie (EOL) sans support technique continu présente un risque que la directive NIS2 attend des opérateurs qu'ils s'efforcent activement d'atténuer.

DORA

UE

DORA considère les logiciels en fin de vie (EOL) comme une faille de résilience pour les actifs informatiques financiers. NES vous propose une version maintenue et un programme documenté de gestion des correctifs.

Loi sur la cyber-résilience

UE

Assure la sécurité tout au long du cycle de vie logiciel des produits comportant des éléments numériques. NES vous fournit une version maintenue et corrigée de votre gamme Quarkus en fin de vie (EOL) pendant la période de couverture.

NIST CSF 2.0

États-Unis

La directive PR.PS-02 impose aux organisations de maintenir activement à jour ou de supprimer les logiciels vulnérables en fonction des risques. NES permet de se conformer à cette directive sans mise à jour forcée.

FedRAMP

États-Unis

La surveillance continue implique la correction des failles selon une cadence définie. Une version corrigée et prise en charge par le fournisseur fournit à votre responsable de la sécurité des systèmes d'information (ISSO) une procédure de correction documentée lui permettant de justifier le maintien de Quarkus en fin de vie (EOL) dans le périmètre d'autorisation.

Contrats commerciaux

Mondial

Les mesures de gestion des vulnérabilités et des configurations impliquent d'identifier les vulnérabilités techniques et de veiller à ce que les logiciels respectent les normes de sécurité. NES rétablit cette conformité pour les logiciels en fin de vie.

Conçu par des ingénieurs en sécurité qui corrigent les failles des logiciels que vous utilisez.

Chaque version de NES for Quarkus corrige les vulnérabilités CVE connues pour les extensions prises en charge dans votre branche de version, et est fournie avec des déclarations VEX et des notes de version correspondant aux alertes signalées par votre outil de scan.

HeroDevs est une autorité de numérotation CVE et un membre fondateur de l’initiative Commonhaus Open Source Sustainability Initiative, qui finance les responsables de maintenance et les écosystèmes qui font avancer l’open source Java.

Autorité chargée de la numérotation CVE

Découverte et publication des CVE dans les produits pris en charge par HeroDevs.

VEX à chaque montage

Lecture automatique par vos scanners

Accords de niveau de service (SLA) conclus

Déploiement de correctifs en fonction du niveau de gravité

Questions fréquemment posées

La NES constitue-t-elle une alternative durable à la mise à niveau ?
NES pour Quarkus facilite-t-il la mise en conformité ?
Que signifie « remplacement direct » pour Quarkus en fin de vie ?
Quelles versions de Quarkus sont prises en charge par NES ?
Qu'est-ce que Never-Ending Support (NES) Quarkus ?

Nous contacter

Vous avez des questions sur l'assistance permanente pour votre bibliothèque open-source ? Nous sommes là pour vous aider !

Découvrez comment les produits NES de HeroDevs peuvent assurer la sécurité et la conformité de vos systèmes.

Découvrez comment nos solutions peuvent apporter de la valeur à votre organisation.

Obtenez des informations détaillées sur les prix, adaptées à vos besoins.

Logo GoogleLogo LillyLogo AbbottLogo en forme de boîteLogo EGLogo HitachiLogo DropboxLogo du NHSLogo de WorkdayLogo de la FinraLogo MicrosoftLogo Santander
Parler à un expert

En envoyant ce formulaire, je confirme avoir pris connaissance de notre Politique de confidentialité.

Nous vous remercions ! Votre demande a bien été reçue !
Oups ! Un problème s'est produit lors de l'envoi du formulaire.