~때~ Jackson 지원 종료(EOL)가 되더라도 CVE는 계속 발생합니다.
JacksonNever-Ending Support (NES) ’는 제품 수명 주기 종료(EOL) 이후에도 자바 스택의 핵심인 JSON 파서를 안전하게 유지하고, 규정 준수 상태를 보장하며, 감사 대비가 가능하도록 지원합니다. NES는 보안 팀, 엔지니어, 경영진에게 EOL로 인해 잃어버렸던 것, 즉 자체 보안 태세와 일정을 주도적으로 관리하고, 비즈니스가 중점을 둘 분야를 결정할 수 있는 권한을 되찾아줍니다.
대기업들이 신뢰하는

보안, 규정 준수, 비즈니스 연속성 — 이 모든 문제를 한 번에 해결합니다
Jackson Spring 기본 JSON 직렬화 Jackson , 배포하는 거의 모든 JVM 서비스에 포함되어 Jackson . 하지만 2.13.x, 2.14.x, 2.15.x 계열은 업스트림에서 더 이상 수정 패치를 제공받지 못하기 때문에, 새로운 CVE에 대한 패치가 적용되지 않고 스캐너가 모든 빌드를 문제로 표시합니다. NES for Jackson 2.13.x, 2.14.x 및 2.15.x 계열의 보안 Jackson , 지원 종료(EOL)된 2.x 계열의 모든 심각도 수준의 CVE를 Jackson .
보안
위험 요소: 역직렬화는 주요 공격 대상이며, EOL(지원 종료)은 상류 버전에서 더 이상 수정 사항이 제공되지 않음을 의미합니다.
EOL 상태인 2.x 계열의 모든 심각도 수준에 걸친CVE 취약점을수정하여, 역직렬화 공격이 의존하는 공격 창을 차단합니다.
SLA에 기반한 패치 배포는 심각도에 따라 결정됩니다
2.13.x, 2.14.x 및 2.15.x에 대한 역포트된 수정 사항
코어, 데이터 형식, 데이터 타입 및 모듈 다루기
규정 준수
위험 요소: CRA, PCI DSS, SOC 2, DORA 및 NIS2 기준에 따라 해결 방안이 없는 미해결 감사 결과.
스캐너는 Jackson CVE를 더 이상 표시하지 Jackson 모든 빌드에는 VEX 문구가 포함되어 있어 지원되지 않는 종속성 관련 오류가 보고서에서 제외됩니다.
SOC 2, PCI DSS, HIPAA, FedRAMP에 대한 준수
DORA, NIS2, EU 사이버 복원력 법 등
VEX 문 및 문서화된 패치 내역
비즈니스 연속성
위험 요소: 성급한 업그레이드로 인해 사용자 정의 직렬화기와 네트워크 전송 중 계약이 깨질 수 있습니다.
코디네이트를 한 번만 변경하면 앱 코드를 수정할 필요 없이 바로 적용할 수 있는 Maven 아티팩트로, 본인의 일정에 맞춰 Jackson 마이그레이션할 수 있습니다.
이전을 완료하기까지 수개월 또는 수년의 여유가 있다
재작성 없음, 손상된 직렬화기 없음
이주 비용의 일부

생태계 파트너십
커먼하우스 재단(Commonhaus Foundation)은 Jackson( Jackson)을 비롯한 커뮤니티 주도의 오픈소스 프로젝트들을 포용하는 비영리 단체로, 이러한 프로젝트들의 장기적인 관리와 지속 가능성을 보장합니다. 히어로데브스(HeroDevs)는 커먼하우스 재단의 오픈소스 지속 가능성 이니셔티브(OSSI)의 창립 멤버가 된 것을 자랑스럽게 생각합니다. 히어로데브스는 커먼하우스와 협력하여 보안에 중점을 둔 이 이니셔티브를 설립했으며, 지원 종료된 버전에 Never-Ending Support (NES) 을 제공하고 있습니다. Jackson및 커먼하우스 재단이 관리하는 기타 오픈소스 프로젝트의 지원 종료 버전에 대해 ‘네버-엔딩 지원(NES)’을 제공하고 있습니다.
NES를 설치하는 날, 무엇이 달라질까요?
그 전 — 고통
모든 서비스는 EOL Jackson 사용하여 JSON을 파싱합니다.
스캐너가 모든 빌드를 탐지하고, 업스트림 패치도 제공되지 않으며, 새로운 역직렬화 관련 CVE가 공개되면 공개 시점과 악용 시점 사이의 시간적 여유가 매우 길어집니다.
그 후 — HeroDevs와 함께
파서가 ‘노출됨’ 상태에서 ‘방어됨’ 상태로 전환됩니다.
NES 빌드에 대한 단일 좌표 스왑을 통해 2.13.x, 2.14.x 및 2.15.x 버전 전반에 걸쳐 SLA 기반 CVE 패치가 재개되며, 공개 API와 와이어 형식은 변경되지 않습니다.
그 전 — 고통
답이 없는 미해결 문제
내부 감사, SOC 2, 그리고 고객 보안 설문조사 모두 jackson 지원 종료(EOL)를 지적하고 있습니다. 이에 대한 시정 방안도 없고, 감사관들에게 제시할 수 있는 타당한 답변도 없습니다.
그 후 — HeroDevs와 함께
조사 결과가 나오면 설문지는 저절로 답이 나옵니다
명명된, 공급업체가 지원하는 빌드로, 확약된 SLA 및 VEX 성명이 포함되어 있습니다. 스캐너는 더 이상 CVE를 탐지하지 않으며, 사용자는 PCI DSS, HIPAA, SOC 2, DORA 및 NIS2에 부합하는 런타임을 참조하게 됩니다.
그 전 — 고통
EOL 일정 대 로드맵
Jackson 수정하면 수백 개에 달하는 서비스 전반에 걸쳐 사용자 정의 직렬화기 및 네트워크 전송 중 계약이 깨질 수 있습니다. 서둘러 마이그레이션을 진행하면 운영 장애가 발생할 위험이 있으며, 엔지니어들이 원래 계획했던 업무에서 벗어나게 됩니다.
그 후 — HeroDevs와 함께
시간에 쫓기지 말고, 본인의 조건에 맞춰 마이그레이션하세요
바이트 단위로 완벽하게 호환되는 드롭인 방식 — 코드 변경이 필요 없습니다. 2.13.x, 2.14.x, 2.15.x 계열이 보안, 규정 준수 및 안정성을 유지하는 동안, 팀은 적절한 업그레이드 계획을 세울 수 있는 여유를 갖게 됩니다.
EOL 2.13.x, 2.14.x 및 2.15.x 계열에서 수정된 실제 CVE 취약점들.
2.x 계열 전반에 걸쳐 10개 이상의 Jackson 패치가 적용되었습니다.
단순히 jackson 아닙니다 .
Jackson NES는 해당 서비스가 실제로 불러오는 구성 요소들, 즉 코어, 데이터 형식, 데이터 유형, 그리고 Jackson 나머지 Jackson 연결하는 모듈 및 통합 기능을 Jackson .
Core 및 Databind
엔진
jackson
jackson
jackson 주석
jackson
형식 및 종류
JSON을 넘어
데이터 형식-XML
데이터 형식-YAML
dataformat-csv
데이터 형식-cbor
데이터형-jsr310
데이터형-jdk8
모듈 및 연동 기능
접착제
module-kotlin
module-scala
module-afterburner
module-blackbird
jaxrs-json-provider
jr-objects
구축이 간편하며, 서비스 중단이 없습니다.
레지스트리 추가
pom.xml 또는 settings.xml에서 registry.herodevs.io를 Maven 리포지토리로 등록하십시오 .
토큰 설정하기
빌드 과정에서 패치된 아티팩트를 가져올 수 있도록 settings.xml 파일에 HeroDevs 인증 토큰을 추가하세요.
좌표 이동
버전을 -nes 빌드로 변경한 후 다시 빌드하십시오. 애플리케이션 코드는 변경할 필요가 없습니다.
스캐너 통과
적극적으로 패치가 제공되고 상용 지원이 이루어지고 있으므로, Jackson (EOL) Jackson 대한 CVE 발견 사항은 Jackson .
모든 표준, 프레임워크 또는 규정에 대해 타당한 답변
EOL 소프트웨어는 전 세계 규제에 따른 패치 관리 기대치를 저해합니다. NES는 정기적인 유지보수가 이루어지고 공급업체의 지원을 받는 빌드를 제공하며, 확약된 SLA와 문서화된 패치 이력을 통해 감사관 및 규제 당국에 규정 준수 여부를 입증할 수 있도록 지원합니다.
PCI DSS
요구사항 6.3.3에 따르면, 알려진 중대하거나 심각도가 높은 취약점은 30일 이내에 패치해야 합니다. 패치가 Jackson EOL(지원 종료) Jackson 즉시 규정 미준수로 간주되며, NES는 패치 경로를 복원합니다.
HIPAA
지원되지 않는 라이브러리를 사용하면 ePHI를 처리하는 시스템에 대해 합리적인 보안 조치를 마련하기 어렵습니다. NES는 적극적인 유지 관리와 위험 완화를 제공합니다.
SOC 2
신뢰 서비스 기준에 따르면, 취약점을 적시에 수정하고 패치를 관리해야 합니다. 지원이 종료된 종속 구성 요소는 인증을 통과할 수 없습니다.
NIS2
제21조는 패치, 취약점 및 공급망 관리를 다룹니다. EOL 소프트웨어는 위험을 초래하는 경우 사실상 규정 미준수 상태로 간주됩니다.
DORA
EOL 소프트웨어를 금융 ICT 자산의 복원력 결함으로 간주합니다. NES는 문서화된 패치 관리 프로그램을 운영하고 있습니다.
사이버 복원력법
소프트웨어 수명 주기 전반에 걸친 보안을 관리합니다. NES는 지원 기간 동안 라이브러리를 효과적으로 관리합니다.
NIST CSF 2.0
PR.PS-02 지침에 따르면, 조직은 위험 수준에 따라 취약점이 있는 소프트웨어를 적극적으로 유지 관리하거나 제거해야 합니다. NES를 사용하면 강제 업그레이드 없이도 규정 준수를 달성할 수 있습니다.
FedRAMP
지속적인 모니터링은 정해진 주기에 따라 결함이 수정되기를 기대합니다. 패치가 적용되고 공급업체가 지원하는 빌드는 EOL 상태인 Jackson 허용 범위 Jackson 유지합니다.
상업 계약
취약점 및 구성 관리 통제 조치에는 기술적 취약점을 파악하고 소프트웨어를 보안 기준 범위 내에 유지하는 것이 필요합니다. NES는 지원 종료(EOL) 소프트웨어에 대해 이러한 보안 상태를 복원합니다.
보안 엔지니어들이 개발했습니다. CNA의 지원을 받고 있습니다.
HeroDevs는 CVE ID를 발견하고 할당할 권한을 가진 공인 CVE 번호 부여 기관입니다. 모든 NES for Jackson 해당 아티팩트에 대한 알려진 CVE 건수를 0으로 만들고, 해결해야 할 보안 권고 사항과 직접 연결되는 VEX 문구 및 릴리스 노트를 함께 제공하므로, 지원되지 않는 종속성 관련 항목이 보고서에서 제외됩니다.
또한 HeroDevs는 오랫동안 오픈 소스를 후원해 왔으며, Jackson 같은 소프트웨어가 지속적으로 Jackson 수 있도록 유지 관리자와 생태계를 지원해 왔습니다.
CVE 번호 부여 기관
CVE의 발견 및 공개
빌드할 때마다 VEX 문장
CVE의 발견 및 공개
약정된 SLA
중요도에 따른 패치 배포
자주 묻는 질문
아니요. NES는 마이그레이션 기간 동안 보안 취약점을 해소해 줄 뿐, 지원되는 Jackson 전환을 대체할 영구적인 대안은 아닙니다. 이를 통해 보안 상태를 유지하고 감사 대비를 완료한 상태에서, 본인의 일정에 맞춰 업그레이드할 수 있는 시간을 확보할 수 있습니다.
네. 설치가 완료되면 스캐너는 Jackson 대한 CVE를 더 이상 탐지하지 않습니다. Jackson 해당 아티팩트에 대한 패치가 지속적으로 적용되고 상용 지원이 제공되기 Jackson . NES는 확약된 SLA, VEX 명세서 및 문서화된 패치 이력을 통해 PCI DSS, HIPAA, FedRAMP, SOC 2, DORA, NIS2 및 EU 사이버 복원력 법(EU Cyber Resilience Act)에서 요구하는 패치 관리 기준을 충족하는 데 도움을 줍니다.
HeroDevs Maven 레지스트리(registry.herodevs.io)에 드롭인 대체 아티팩트로 제공됩니다. NES 좌표 형식은 com.herodevs.nes.fasterxml.jackson.core:jackson:2.13.jackson.13.6과 같습니다.
NES 빌드는 Jackson .x의 공개 API와 네트워크 전송 시 동작 방식을 그대로 유지합니다. HeroDevs Maven 레지스트리를 추가하고, 토큰으로 인증한 다음 버전 좌표를 변경하기만 하면 됩니다. 애플리케이션 코드를 수정할 필요가 없으며, 사용자 정의 직렬화기와 모듈도 계속 정상적으로 작동합니다.
NES for Jackson jackson 아니라 코어, 데이터 포맷, 데이터 유형, 모듈 및 통합 아티팩트에 걸친 2.x 버전을 모두 Jackson . 2.10~2.12와 같은 이전 버전을 사용 중이라면, 지원 여부에 대해 HeroDevs에 문의하시기 바랍니다.
NES for Jackson 지원 종료된 2.x 버전을 사용 중인 조직을 위해 HeroDevs가 상용 지원 형태로 Jackson Jackson 라이브러리 Jackson . 이 제품은 드롭인(drop-in) 방식의 Maven 아티팩트로, 지속적인 취약점 수정 및 규정 준수 지원을 제공하여 팀이 자체 일정에 맞춰 마이그레이션을 계획하고 실행할 수 있는 시간을 확보해 줍니다.
문의하기
오픈소스 라이브러리에 대한 네버엔딩 지원에 대해 궁금한 점이 있으신가요? 저희가 도와드리겠습니다!
히어로데브스 NES 제품이 시스템을 안전하게 보호하고 규정을 준수하는 방법을 알아보세요.
당사 솔루션이 조직에 어떤 가치를 제공할 수 있는지 알아보세요.
필요에 맞는 자세한 가격 정보를 확인하세요.
Java 및 JVM 보안 및 규정 준수 업데이트를 놓치지 마세요
모든 기사 보기

.png)
