~때~ Jackson 지원 종료(EOL)가 되더라도 CVE는 계속 발생합니다.

JacksonNever-Ending Support (NES) ’는 제품 수명 주기 종료(EOL) 이후에도 자바 스택의 핵심인 JSON 파서를 안전하게 유지하고, 규정 준수 상태를 보장하며, 감사 대비가 가능하도록 지원합니다. NES는 보안 팀, 엔지니어, 경영진에게 EOL로 인해 잃어버렸던 것, 즉 자체 보안 태세와 일정을 주도적으로 관리하고, 비즈니스가 중점을 둘 분야를 결정할 수 있는 권한을 되찾아줍니다.

대기업들이 신뢰하는

Google 로고Microsoft 로고Finra 로고산탄데르 은행 로고
히타치 로고Workday 로고Dropbox 로고

보안, 규정 준수, 비즈니스 연속성 — 이 모든 문제를 한 번에 해결합니다

Jackson Spring 기본 JSON 직렬화 Jackson , 배포하는 거의 모든 JVM 서비스에 포함되어 Jackson . 하지만 2.13.x, 2.14.x, 2.15.x 계열은 업스트림에서 더 이상 수정 패치를 제공받지 못하기 때문에, 새로운 CVE에 대한 패치가 적용되지 않고 스캐너가 모든 빌드를 문제로 표시합니다. NES for Jackson 2.13.x, 2.14.x 및 2.15.x 계열의 보안 Jackson , 지원 종료(EOL)된 2.x 계열의 모든 심각도 수준의 CVE를 Jackson .

보안

위험 요소: 역직렬화는 주요 공격 대상이며, EOL(지원 종료)은 상류 버전에서 더 이상 수정 사항이 제공되지 않음을 의미합니다.

‍EOL 상태인 2.x 계열의 모든 심각도 수준에 걸친CVE 취약점을수정하여, 역직렬화 공격이 의존하는 공격 창을 차단합니다.

SLA에 기반한 패치 배포는 심각도에 따라 결정됩니다

2.13.x, 2.14.x 및 2.15.x에 대한 역포트된 수정 사항

코어, 데이터 형식, 데이터 타입 및 모듈 다루기

규정 준수

위험 요소: CRA, PCI DSS, SOC 2, DORA 및 NIS2 기준에 따라 해결 방안이 없는 미해결 감사 결과.

스캐너는 Jackson CVE를 더 이상 표시하지 Jackson 모든 빌드에는 VEX 문구가 포함되어 있어 지원되지 않는 종속성 관련 오류가 보고서에서 제외됩니다.

SOC 2, PCI DSS, HIPAA, FedRAMP에 대한 준수

DORA, NIS2, EU 사이버 복원력 법 등

VEX 문 및 문서화된 패치 내역

비즈니스 연속성

위험 요소: 성급한 업그레이드로 인해 사용자 정의 직렬화기와 네트워크 전송 중 계약이 깨질 수 있습니다.

코디네이트를 한 번만 변경하면 앱 코드를 수정할 필요 없이 바로 적용할 수 있는 Maven 아티팩트로, 본인의 일정에 맞춰 Jackson 마이그레이션할 수 있습니다.

이전을 완료하기까지 수개월 또는 수년의 여유가 있다

재작성 없음, 손상된 직렬화기 없음

이주 비용의 일부

“우리에게는 세 가지 선택지가 있었습니다. 1) 새로운 프레임워크로 마이그레이션하기(비용이 많이 들고 시간이 오래 걸리며 계획된 로드맵에 차질을 빚음), 2) 프레임워크를 자체적으로 유지 관리하기(개발 리소스 분산), 3) HeroDevs와 계약하여 구독 형태로 지속적인 지원을 받기(예산 내에서 감당 가능한 연간 비용, 개발 계획에 영향 없음)… 구현 과정은 정말 간단했습니다. HeroDevs 라이브러리를 도입함으로써 AngularJS 프레임워크의 알려진 취약점을 100% 해결하여, 월간 POA&M을 위한 Burp Suite 스캔 결과에서 모든 문제가 해결된 것으로 나타났습니다.”

— ViTel Net
기업용 의료 IT

“HeroDevs의 확장 지원 서비스를 활용함으로써, 우리는 보안 위험을 완화하고 레거시 애플리케이션의 안전한 운영을 지속할 수 있었으며, 더 지속 가능한 장기 마이그레이션 전략을 수립할 귀중한 시간을 확보할 수 있었습니다. 이 모든 과정을 고객 경험이나 규제 요건을 저해하지 않고 이루어냈습니다.”

— 산람 프라이빗 웰스
금융 서비스

“우리는 전형적인 기술적 딜레마에 직면했습니다. 이미 교체할 계획이었던 레거시 시스템을 업데이트하는 데 귀중한 엔지니어링 시간을 할애할 것인지, 아니면 점점 커지는 보안 위험을 감수할 것인지 선택해야 했죠. 두 가지 선택지 모두 우리의 비즈니스 목표와 부합하지 않았습니다. … NES를 도입함으로써 우리는 전략적 로드맵을 훼손하지 않으면서도 보안 태세를 유지할 수 있었을 뿐만 아니라, 상당한 비용 절감 효과까지 거두었습니다.”

— Statista
마르쿠스 볼프, 건축가

“고객들이 요청해 온 기능을 하나도 제공할 수 없다고 말해야 한다고 상상해 보세요. 이미 잘 작동하는 코드를 다시 작성하는 데 앞으로 1년을 써야 하기 때문이라고요. 이는 어떤 CTO도 하고 싶어 하지 않는 대화일 것입니다… [NES의] 영향력은 단순히 시스템을 유지하는 것을 넘어섭니다. 우리는 완전히 새로운 컴포넌트 라이브러리에 투자하고, 사용자 경험을 개선하며, 신규 고객 유치에 직접적으로 기여하는 기능을 제공할 수 있게 되었습니다. 만약 우리가 마이그레이션 단계에 갇혀 있었다면 이런 일은 불가능했을 것입니다.”

— 킬바르
발렌티나 로크스, 최고기술책임자(CTO)
커먼하우스 재단

생태계 파트너십

커먼하우스 재단(Commonhaus Foundation)은 Jackson( Jackson)을 비롯한 커뮤니티 주도의 오픈소스 프로젝트들을 포용하는 비영리 단체로, 이러한 프로젝트들의 장기적인 관리와 지속 가능성을 보장합니다. 히어로데브스(HeroDevs)는 커먼하우스 재단의 오픈소스 지속 가능성 이니셔티브(OSSI)의 창립 멤버가 된 것을 자랑스럽게 생각합니다. 히어로데브스는 커먼하우스와 협력하여 보안에 중점을 둔 이 이니셔티브를 설립했으며, 지원 종료된 버전에 Never-Ending Support (NES) 을 제공하고 있습니다. Jackson및 커먼하우스 재단이 관리하는 기타 오픈소스 프로젝트의 지원 종료 버전에 대해 ‘네버-엔딩 지원(NES)’을 제공하고 있습니다.

NES를 설치하는 날, 무엇이 달라질까요?

그 전 — 고통

모든 서비스는 EOL Jackson 사용하여 JSON을 파싱합니다.

스캐너가 모든 빌드를 탐지하고, 업스트림 패치도 제공되지 않으며, 새로운 역직렬화 관련 CVE가 공개되면 공개 시점과 악용 시점 사이의 시간적 여유가 매우 길어집니다.

그 후 — HeroDevs와 함께

파서가 ‘노출됨’ 상태에서 ‘방어됨’ 상태로 전환됩니다.

NES 빌드에 대한 단일 좌표 스왑을 통해 2.13.x, 2.14.x 및 2.15.x 버전 전반에 걸쳐 SLA 기반 CVE 패치가 재개되며, 공개 API와 와이어 형식은 변경되지 않습니다.

그 전 — 고통

답이 없는 미해결 문제

내부 감사, SOC 2, 그리고 고객 보안 설문조사 모두 jackson 지원 종료(EOL)를 지적하고 있습니다. 이에 대한 시정 방안도 없고, 감사관들에게 제시할 수 있는 타당한 답변도 없습니다.

그 후 — HeroDevs와 함께

조사 결과가 나오면 설문지는 저절로 답이 나옵니다

명명된, 공급업체가 지원하는 빌드로, 확약된 SLA 및 VEX 성명이 포함되어 있습니다. 스캐너는 더 이상 CVE를 탐지하지 않으며, 사용자는 PCI DSS, HIPAA, SOC 2, DORA 및 NIS2에 부합하는 런타임을 참조하게 됩니다.

그 전 — 고통

EOL 일정 대 로드맵

Jackson 수정하면 수백 개에 달하는 서비스 전반에 걸쳐 사용자 정의 직렬화기 및 네트워크 전송 중 계약이 깨질 수 있습니다. 서둘러 마이그레이션을 진행하면 운영 장애가 발생할 위험이 있으며, 엔지니어들이 원래 계획했던 업무에서 벗어나게 됩니다.

그 후 — HeroDevs와 함께

시간에 쫓기지 말고, 본인의 조건에 맞춰 마이그레이션하세요

바이트 단위로 완벽하게 호환되는 드롭인 방식 — 코드 변경이 필요 없습니다. 2.13.x, 2.14.x, 2.15.x 계열이 보안, 규정 준수 및 안정성을 유지하는 동안, 팀은 적절한 업그레이드 계획을 세울 수 있는 여유를 갖게 됩니다.

EOL 2.13.x, 2.14.x 및 2.15.x 계열에서 수정된 실제 CVE 취약점들.

HeroDevs는 공인된 CVE 번호 부여 기관(CNA)입니다. 아래의 보안 권고 사항은 Jackson .13.x, 2.14.x 및 2.15.x 계열에 대한 HeroDevs EOL 데이터셋에서 발췌한 것입니다. — 현재 해당 버전을 사용 중이라면, 귀하의 서비스는 이러한 취약점에 노출되어 있습니다. 알려진 CVE에 대한 수정 사항이 포함된 즉시 적용 가능한 패치를 받으려면 NES로 전환하십시오. 모든 수정 사항은 항목당 하나의 보안 권고 형태로 게시됩니다.
심각도
CVE
카테고리
영향을 받는 버전
게시 날짜
Medium
서비스 거부
<20.20.2 >=22.0.0 <22.22.2 >=24.0.0 <24.14.1 >=25.0.0 <25.8.2
2026년 4월 13일
높음
통제되지 않는 리소스 소비
v4 < v20.20.0, v22 < v22.22.0, v24 < v24.13.0, v25 < v25.3.0
2026년 1월 13일
높음
경로 탐색
4.0 < 20.19.4, 22 < 22.17.1, 24 < 24.4.1
7월 15, 2025
Medium
HTTP 요청 밀수
4.0 < 20.19.1
2025년 5월 14일
높음
암호화 취약점
4.0 < 20.19.1, 22 < 22.15.0, 24 < 24.0.1
2025년 5월 14일
Medium
서비스 거부
4.0 < 18.20.6, 20 < 20.18.2
Feb 7, 2025
Medium
경로 탐색
4.0 < 18.20.6, 20 < 20.18.2
Jan 28, 2025
높음
명령 주입
4.0 <= 18.20.2, 20 < 20.12.2
Jan 9, 2025
높음
HTTP 요청 밀수
>=16.0.0 <16.20.1, >=18.0.0 <18.16.1, >=20.0.0 <20.3.1
2024년 10월 16일
낮음
정보 노출
>=16.0.0 <=16.20.2
2024년 10월 15일
Medium
서비스 거부
>=14.0.0 <=14.21.3, >=16.0.0 <=16.20.2
2024년 10월 15일
Medium
암호화 취약점
4.0 < 18.19.1, 20 < 20.11.1
Sep 7, 2024
높음
명령 주입
4.0 < 18.20.4, 20.0 < 20.15.1, 22.0< 22.4.1
Sep 7, 2024
Medium
HTTP 요청 밀수
4.0 < 18.20.1, 20 < 20.12.1
2024년 5월 7일
Medium
HTTP 요청 밀수
<21.7.2, <20.12.1, <v18.20.1, <= 16.20.2, <=v14.21.3, <= v12.22.12
2024년 5월 1일
높음
통제되지 않는 리소스 소비
4 <= 18.20.0, 20 <= 20.12.0
Apr 9, 2024
높음
권한 에스컬레이션
4.0 < 18.19.1, 20 < 20.11.1
2024년 2월 20일
Medium
서비스 거부
<21.6.2, <20.11.1, <v18.19.1, <= 16.20.2
2024년 2월 14일
높음
서비스 거부
<21.6.2, <20.11.1, <v18.19.1, <= 16.20.2, <=v14.21.3, <= v12.22.12
2024년 2월 14일
Medium
암호화 취약점
4.0 < 16.20.1, 18 < 18.16.1, 20 < 20.3.1
Nov 28, 2023
Medium
데이터 신뢰성 검증 불충분
4.0 <= 18.18.1, 20 < 20.8.1
Oct 18, 2023
Medium
권한 에스컬레이션
4 <= 16.20.1, 0 <= 18.17.0, 0 <= 20.5.0
Aug 24, 2023
Medium
HTTP 요청 밀수
4.0 < 16.20.1, 18 < 18.16.1, 20 < 20.3.1
2023년 6월 30일
Medium
HTTP 요청 밀수
4.0 < 14.20.1, 16 < 16.17.1, 18 < 18.9.1
Dec 5, 2022
높음
리소스 주입
4.0 < 14.20.0, 16 < 16.20.0, 18 < 18.5.0
Jul 14, 2022
Medium
HTTP 요청 밀수
4.0 < 14.20.1, 16 < 16.17.1, 18 < 18.9.1
Jul 14, 2022
높음
인증 우회
4.0 < 14.20.1, 16 < 16.17.1, 18 < 18.9.1
Jul 14, 2022
Medium
HTTP 요청 밀수
4.0 < 14.20.0, 16 < 16.20.0, 18 < 18.5.0
Jul 14, 2022
Medium
HTTP 요청 밀수
4.0 < 14.20.1, 16 < 16.17.1, 18 < 18.9.1
Jul 14, 2022

2.x 계열 전반에 걸쳐 10개 이상의 Jackson 패치가 적용되었습니다.

심각도
ID
카테고리
영향을 받는 버전
게시 날짜
Medium
인증 우회
>=2.8.0 <2.18.9, >=2.19.0 <2.21.5, >=3.1.0 <3.1.4
2026년 6월 23일
Medium
인증 우회
<2.18.4, >=2.21.0 <2.21.4, >=3.0.0 <3.1.4
2026년 6월 23일
Medium
인증 우회
>=2.9.0 <2.18.8, >=2.19.0 <2.21.4, >=3.0.0 <3.1.4
2026년 6월 23일
Medium
서비스 거부
>=2.10.0 <2.14.0
2026년 6월 22일
Medium
서버 측 요청 위조
>=2.0.0 <2.18.8, >=2.19.0 <2.21.4, >=3.0.0 <3.1.4
2026년 6월 22일
높음
원격 코드 실행
>=2.10.0 <2.18.8, >=2.19.0 <2.21.4, >=3.0.0 <3.1.4
2026년 6월 22일
높음
원격 코드 실행
>=2.10.0 <2.18.8, >=2.19.0 <2.21.4, >=3.0.0 <3.1.4
2026년 6월 22일
높음
서비스 거부
<2.15.0
Oct 13, 2025
Medium
서비스 거부
<=2.15.2
Oct 13, 2025
높음
서비스 거부
<2.15.0
Oct 13, 2025

단순히 jackson 아닙니다 .

Jackson NES는 해당 서비스가 실제로 불러오는 구성 요소들, 즉 코어, 데이터 형식, 데이터 유형, 그리고 Jackson 나머지 Jackson 연결하는 모듈 및 통합 기능을 Jackson .

Core 및 Databind

엔진

jackson

jackson

jackson 주석

jackson

형식 및 종류

JSON을 넘어

데이터 형식-XML

데이터 형식-YAML

dataformat-csv

데이터 형식-cbor

데이터형-jsr310

데이터형-jdk8

모듈 및 연동 기능

접착제

module-kotlin

module-scala

module-afterburner

module-blackbird

jaxrs-json-provider

jr-objects

구축이 간편하며, 서비스 중단이 없습니다.

pom.xml
<dependency>
<groupId>com.herodevs.nes.fasterxml.jackson.core</groupId>
<artifactId>jackson-databind</artifactId>
<version>2.13.5-jackson-databind-2.13.6</version>
</dependency>
1

레지스트리 추가

pom.xml 또는 settings.xml에서 registry.herodevs.io를 Maven 리포지토리로 등록하십시오 .

2

토큰 설정하기

빌드 과정에서 패치된 아티팩트를 가져올 수 있도록 settings.xml 파일에 HeroDevs 인증 토큰을 추가하세요.

3

좌표 이동

버전을 -nes 빌드로 변경한 후 다시 빌드하십시오. 애플리케이션 코드는 변경할 필요가 없습니다.

4

스캐너 통과

적극적으로 패치가 제공되고 상용 지원이 이루어지고 있으므로, Jackson (EOL) Jackson 대한 CVE 발견 사항은 Jackson .

모든 표준, 프레임워크 또는 규정에 대해 타당한 답변

EOL 소프트웨어는 전 세계 규제에 따른 패치 관리 기대치를 저해합니다. NES는 정기적인 유지보수가 이루어지고 공급업체의 지원을 받는 빌드를 제공하며, 확약된 SLA와 문서화된 패치 이력을 통해 감사관 및 규제 당국에 규정 준수 여부를 입증할 수 있도록 지원합니다.

PCI DSS

미국

요구사항 6.3.3에 따르면, 알려진 중대하거나 심각도가 높은 취약점은 30일 이내에 패치해야 합니다. 패치가 Jackson EOL(지원 종료) Jackson 즉시 규정 미준수로 간주되며, NES는 패치 경로를 복원합니다.

HIPAA

미국

지원되지 않는 라이브러리를 사용하면 ePHI를 처리하는 시스템에 대해 합리적인 보안 조치를 마련하기 어렵습니다. NES는 적극적인 유지 관리와 위험 완화를 제공합니다.

SOC 2

글로벌

신뢰 서비스 기준에 따르면, 취약점을 적시에 수정하고 패치를 관리해야 합니다. 지원이 종료된 종속 구성 요소는 인증을 통과할 수 없습니다.

NIS2

EU

제21조는 패치, 취약점 및 공급망 관리를 다룹니다. EOL 소프트웨어는 위험을 초래하는 경우 사실상 규정 미준수 상태로 간주됩니다.

DORA

EU

EOL 소프트웨어를 금융 ICT 자산의 복원력 결함으로 간주합니다. NES는 문서화된 패치 관리 프로그램을 운영하고 있습니다.

사이버 복원력법

EU

소프트웨어 수명 주기 전반에 걸친 보안을 관리합니다. NES는 지원 기간 동안 라이브러리를 효과적으로 관리합니다.

NIST CSF 2.0

미국

PR.PS-02 지침에 따르면, 조직은 위험 수준에 따라 취약점이 있는 소프트웨어를 적극적으로 유지 관리하거나 제거해야 합니다. NES를 사용하면 강제 업그레이드 없이도 규정 준수를 달성할 수 있습니다.

FedRAMP

미국

지속적인 모니터링은 정해진 주기에 따라 결함이 수정되기를 기대합니다. 패치가 적용되고 공급업체가 지원하는 빌드는 EOL 상태인 Jackson 허용 범위 Jackson 유지합니다.

상업 계약

글로벌

취약점 및 구성 관리 통제 조치에는 기술적 취약점을 파악하고 소프트웨어를 보안 기준 범위 내에 유지하는 것이 필요합니다. NES는 지원 종료(EOL) 소프트웨어에 대해 이러한 보안 상태를 복원합니다.

보안 엔지니어들이 개발했습니다. CNA의 지원을 받고 있습니다.

HeroDevs는 CVE ID를 발견하고 할당할 권한을 가진 공인 CVE 번호 부여 기관입니다. 모든 NES for Jackson 해당 아티팩트에 대한 알려진 CVE 건수를 0으로 만들고, 해결해야 할 보안 권고 사항과 직접 연결되는 VEX 문구 및 릴리스 노트를 함께 제공하므로, 지원되지 않는 종속성 관련 항목이 보고서에서 제외됩니다.

또한 HeroDevs는 오랫동안 오픈 소스를 후원해 왔으며, Jackson 같은 소프트웨어가 지속적으로 Jackson 수 있도록 유지 관리자와 생태계를 지원해 왔습니다.

CVE 번호 부여 기관

CVE의 발견 및 공개

빌드할 때마다 VEX 문장

CVE의 발견 및 공개

약정된 SLA

중요도에 따른 패치 배포

자주 묻는 질문

NES는 시스템 업그레이드를 대체할 수 있는 영구적인 대안이 될 수 있을까요?
Jackson 위한 NES가 치료 순응도를 높이는 데 Jackson 될까요?
배송은 어떻게 이루어지나요?
EOL(생산 종료)된 Jackson 을 대체할 수 있는 제품은 무엇을 Jackson ?
NES는 어떤 Jackson 지원하나요?
Jackson Never-Ending Support (NES) ’이란 무엇인가요?

문의하기

오픈소스 라이브러리에 대한 네버엔딩 지원에 대해 궁금한 점이 있으신가요? 저희가 도와드리겠습니다!

히어로데브스 NES 제품이 시스템을 안전하게 보호하고 규정을 준수하는 방법을 알아보세요.

당사 솔루션이 조직에 어떤 가치를 제공할 수 있는지 알아보세요.

필요에 맞는 자세한 가격 정보를 확인하세요.

Google 로고릴리 로고애보트 로고박스 로고EG 로고히타치 로고Dropbox 로고NHS 로고Workday 로고Finra 로고Microsoft 로고산탄데르 로고
전문가와 상담하기

이 양식을 제출함으로써 저는 당사의 개인정보 처리방침을 확인했음을 인정합니다 .

감사합니다! 제출이 접수되었습니다!
죄송합니다! 양식을 제출하는 동안 문제가 발생했습니다.