Jackson 达到生命周期终止(EOL)时,CVE 漏洞报告仍会持续出现。

Never-Ending Support (NES) JacksonNever-Ending Support (NES) ,即使在产品生命周期结束之后,也能确保作为您 Java 技术栈核心的 JSON 解析器保持安全、合规且符合审计要求。NES 让您的安全团队、工程师和管理层重新获得了在产品生命周期结束时失去的能力:自主掌控安全态势、制定时间表,并决定业务应将关注点放在何处。

深受企业信赖

谷歌标识微软徽标Finra 徽标桑坦德银行徽标
日立标志工作日徽标Dropbox 徽标

安全、合规与业务连续性——一举解决

Jackson Spring 中的默认 JSON 序列化器,几乎存在于您发布的每个 JVM 服务中——但 2.13.x、2.14.x 和 2.15.x 系列已不再接收上游修复程序,因此新的 CVE 无法得到修复,安全扫描工具会将每个构建版本标记为存在漏洞。 NES forJackson 2.13.x、2.14.x 和 2.15.x 系列的安全构建版本,修复了已停用(EOL)的 2.x 系列中所有严重级别下的 CVE 漏洞。

安全

风险:反序列化是攻击者的首选目标——而产品生命周期结束(EOL)意味着上游无法再进行修复。

‍针对已达到生命周期结束(EOL)的 2.x 系列中所有严重等级的CVE漏洞进行修复——从而封堵了反序列化攻击所依赖的漏洞窗口。

基于SLA的补丁分发与严重程度相关

针对 2.13.x、2.14.x 和 2.15.x 的回溯修复

核心、数据格式、数据类型和模块覆盖范围

合规

风险:根据CRA、PCI DSS、SOC 2、DORA和NIS2标准,存在未解决的审计发现且无修复路径。

扫描器将不再对已停用的Jackson 中的CVE进行标记Jackson 每个构建版本均包含VEX语句,因此“不受支持的依赖项”这一发现将从您的报告中移除。

涵盖 SOC 2、PCI DSS、HIPAA 和 FedRAMP

DORA、NIS2、《欧盟网络弹性法案》等

VEX 语句及已记录的补丁历史

业务连续性

风险:仓促升级会导致自定义序列化器和网络传输协议失效。

这是一个即插即用的 Maven 工件,只需更改一个坐标即可替换,无需修改应用程序代码——因此您可以按照自己的计划迁移Jackson 。

需要数月或数年的过渡期才能顺利完成迁移

不进行重写,不使用有问题的序列化器

迁移成本的一小部分

“我们有三种选择:1)迁移到新的框架(成本高、耗时且会打乱既定路线图);2)自行维护该框架(会分散开发资源);3)通过订阅方式与 HeroDevs 合作,获得持续的技术支持(预算可控的年度开支,不影响开发计划)……实施过程非常简单。 随着 HeroDevs 库的AngularJS 框架中已知的漏洞已 100% 得到修复,使得我们在每月 POA&M 检查中通过 Burp Suite 扫描的结果完全符合标准。”

— ViTel Net
企业医疗保健信息技术

“借助 HeroDevs 的扩展支持服务,我们不仅成功降低了安全风险、确保了旧版应用程序的安全运行,还赢得了宝贵的时间来规划更可持续的长期迁移策略——所有这些都未影响客户体验,也完全符合监管要求。”

— Sanlam Private Wealth
金融服务

“我们陷入了典型的技术两难境地——要么花费宝贵的工程时间来更新一个我们原本就计划要替换的旧系统,要么接受日益加剧的安全风险。这两种选择都不符合我们的业务目标。……借助 NES,我们在不影响战略路线图的前提下维持了安全态势,同时还实现了可观的成本节约。”

— Statista
马库斯·沃尔夫,建筑师

“试想一下,你不得不告诉客户,由于接下来这一年都要花在重写原本已经正常运行的代码上,因此无法提供他们一直要求的所有功能。 这绝不是任何首席技术官(CTO)愿意面对的局面……[NES]带来的影响远不止于维持基本运营——我们得以投资构建一个全新的组件库,提升用户体验,并推出直接有助于吸引新客户的功能。如果我们还陷在系统迁移的泥潭中,这一切都是不可能实现的。”

— 基尔瓦尔
瓦伦蒂娜·罗克斯,首席技术官
Commonhaus基金会

生态系统合作伙伴关系

Commonhaus 基金会是一个由社区治理的开源项目非营利性平台,涵盖包括Jackson 在内的多个项目,旨在确保这些项目的长期维护与可持续发展。HeroDevs 很荣幸能成为Commonhaus 基金会开源可持续发展计划(OSSI)的创始成员。HeroDevs 与 Commonhaus 合作建立了这一以安全为重点的计划,Never-Ending Support (NES) 已停止维护的版本提供Never-Ending Support (NES) Jackson及其他由 Commonhaus 基金会管理的开源项目提供“永续支持”(NES)。

安装 NES 后的那一天,一切都会发生怎样的变化。

之前——痛苦

每个服务都使用 EOLJackson解析 JSON

扫描程序会标记每个构建版本,上游没有补丁发布,而且一旦出现新的反序列化 CVE,从漏洞披露到被利用的时间窗口就完全敞开了。

之后——与 HeroDevs 一起

解析器从“暴露”状态转为“受保护”状态

对 NES 构建版本进行一个坐标的交换,即可恢复 2.13.x、2.14.x 和 2.15.x 版本中基于 SLA 的 CVE 补丁——同时公共 API 和数据传输格式保持不变。

之前——痛苦

一个尚无定论的发现

内部审计、SOC 2 以及客户安全问卷均指出jackson 已达到生命周期终止(EOL)状态。目前既无补救方案,也无法向审计员提供令人信服的解释。

之后——与 HeroDevs 一起

调查结果显而易见,问卷答案不言自明

一个由供应商支持的、带有明确名称的构建版本,附带已承诺的服务水平协议(SLA)和VEX声明。扫描工具不再标记相关CVE,且您所引用的运行时环境符合PCI DSS、HIPAA、SOC 2、DORA和NIS2标准。

之前——痛苦

EOL 时钟与路线图

修改Jackson 可能会导致数百个服务中的自定义序列化器和网络传输协议出现故障。仓促的迁移不仅会引发生产环境事故,还会使工程师无法按计划推进工作。

之后——与 HeroDevs 一起

按照自己的节奏进行迁移,而不是被时间所迫

字节级直接替换——无需修改代码。各团队由此获得充裕的时间来规划合理的升级方案,同时 2.13.x、2.14.x 和 2.15.x 系列仍能保持安全、合规和稳定。

真实的CVE漏洞,已在已停用的2.13.x、2.14.x和2.15.x系列中修复。

HeroDevs 是经授权的 CVE 编号机构(CNA)。以下安全公告摘自 HeroDevs 针对Jackson .13.x、2.14.x 和 2.15.x 系列版本的 EOL 数据集。——如果您目前仍在使用这些版本,您的服务将面临相关安全风险。请切换至 NES,以获取包含已知 CVE 修复程序的即时补丁。 每项修复均已发布,每条记录对应一份安全公告。
严重性
CVE
类别
受影响的版本
发布日期
中型
拒绝服务
<20.20.2 >=22.0.0 <22.22.2 >=24.0.0 <24.14.1 >=25.0.0 <25.8.2
2026年4月13日
无节制的资源消耗
v4 < v20.20.0, v22 < v22.22.0, v24 < v24.13.0, v25 < v25.3.0
2026年1月13日
路径遍历
4.0 < 20.19.4, 22 < 22.17.1, 24 < 24.4.1
2025 年 7 月 15 日
中型
HTTP 请求走私
4.0 < 20.19.1
2025 年 5 月 14 日
密码学弱点
4.0 < 20.19.1, 22 < 22.15.0, 24 < 24.0.1
2025 年 5 月 14 日
中型
拒绝服务
4.0 < 18.20.6, 20 < 20.18.2
2025 年 2 月 7 日
中型
路径遍历
4.0 < 18.20.6, 20 < 20.18.2
2025 年 1 月 28 日
指令注入
4.0 <= 18.20.2, 20 < 20.12.2
2025 年 1 月 9 日
HTTP 请求走私
>=16.0.0 <16.20.1, >=18.0.0 <18.16.1, >=20.0.0 <20.3.1
2024 年 10 月 16 日
信息披露
>=16.0.0 <=16.20.2
2024 年 10 月 15 日
中型
拒绝服务
>=14.0.0 <=14.21.3, >=16.0.0 <=16.20.2
2024 年 10 月 15 日
中型
密码学弱点
4.0 < 18.19.1, 20 < 20.11.1
2024 年 9 月 7 日
指令注入
4.0 < 18.20.4, 20.0 < 20.15.1, 22.0< 22.4.1
2024 年 9 月 7 日
中型
HTTP 请求走私
4.0 < 18.20.1, 20 < 20.12.1
2024 年 5 月 7 日
中型
HTTP 请求走私
<21.7.2, <20.12.1, <v18.20.1, <= 16.20.2, <=v14.21.3, <= v12.22.12
2024 年 5 月 1 日
无节制的资源消耗
4 <= 18.20.0, 20 <= 20.12.0
2024 年 4 月 9 日
权限升级
4.0 < 18.19.1, 20 < 20.11.1
2024 年 2 月 20 日
中型
拒绝服务
<21.6.2, <20.11.1, <v18.19.1, <= 16.20.2
2024 年 2 月 14 日
拒绝服务
<21.6.2, <20.11.1, <v18.19.1, <= 16.20.2, <=v14.21.3, <= v12.22.12
2024 年 2 月 14 日
中型
密码学弱点
4.0 < 16.20.1, 18 < 18.16.1, 20 < 20.3.1
2023 年 11 月 28 日
中型
数据真实性验证不足
4.0 <= 18.18.1, 20 < 20.8.1
2023 年 10 月 18 日
中型
权限升级
4 <= 16.20.1, 0 <= 18.17.0, 0 <= 20.5.0
2023 年 8 月 24 日
中型
HTTP 请求走私
4.0 < 16.20.1, 18 < 18.16.1, 20 < 20.3.1
2023 年 6 月 30 日
中型
HTTP 请求走私
4.0 < 14.20.1, 16 < 16.17.1, 18 < 18.9.1
2022 年 12 月 5 日
资源注入
4.0 < 14.20.0, 16 < 16.20.0, 18 < 18.5.0
2022 年 7 月 14 日
中型
HTTP 请求走私
4.0 < 14.20.1, 16 < 16.17.1, 18 < 18.9.1
2022 年 7 月 14 日
授权旁路
4.0 < 14.20.1, 16 < 16.17.1, 18 < 18.9.1
2022 年 7 月 14 日
中型
HTTP 请求走私
4.0 < 14.20.0, 16 < 16.20.0, 18 < 18.5.0
2022 年 7 月 14 日
中型
HTTP 请求走私
4.0 < 14.20.1, 16 < 16.17.1, 18 < 18.9.1
2022 年 7 月 14 日

2.x 系列中已修复了 10 多个Jackson 。

严重性
身份证
类别
受影响的版本
发布日期
中型
授权旁路
>=2.8.0 <2.18.9, >=2.19.0 <2.21.5, >=3.1.0 <3.1.4
2026年6月23日
中型
授权旁路
<2.18.4, >=2.21.0 <2.21.4, >=3.0.0 <3.1.4
2026年6月23日
中型
授权旁路
>=2.9.0 <2.18.8, >=2.19.0 <2.21.4, >=3.0.0 <3.1.4
2026年6月23日
中型
拒绝服务
>=2.10.0 <2.14.0
2026年6月22日
中型
服务器端请求伪造
>=2.0.0 <2.18.8, >=2.19.0 <2.21.4, >=3.0.0 <3.1.4
2026年6月22日
远程代码执行
>=2.10.0 <2.18.8, >=2.19.0 <2.21.4, >=3.0.0 <3.1.4
2026年6月22日
远程代码执行
>=2.10.0 <2.18.8, >=2.19.0 <2.21.4, >=3.0.0 <3.1.4
2026年6月22日
拒绝服务
<2.15.0
2025 年 10 月 13 日
中型
拒绝服务
<=2.15.2
2025 年 10 月 13 日
拒绝服务
<2.15.0
2025 年 10 月 13 日

不仅仅是jackson。

Jackson 的 NESJackson 您的服务实际调用的组件——核心、数据格式、数据类型,以及将Jackson 您技术栈其余部分绑定的模块和集成。

Core 和 databind

发动机

jackson

jackson

jackson

jackson

格式与类型

超越 JSON

dataformat-xml

dataformat-yaml

dataformat-csv

数据格式-cbor

datatype-jsr310

数据类型-JDK8

模块与集成

胶水

module-kotlin

module-scala

module-afterburner

module-blackbird

jaxrs-json-provider

jr-objects

部署简便,不影响正常运行。

pom.xml
<dependency>
<groupId>com.herodevs.nes.fasterxml.jackson.core</groupId>
<artifactId>jackson-databind</artifactId>
<version>2.13.5-jackson-databind-2.13.6</version>
</dependency>
1

添加注册表项

在您的pom.xmlsettings.xml文件中将 registry.herodevs.io注册为 Maven 仓库

2

设置您的令牌

请将您的 HeroDevs 认证令牌添加到settings.xml ,以便 构建过程能够获取已打补丁的构建产物。

3

调整坐标

将版本更改为 -nes 构建版本,然后重新构建。应用程序代码无需更改。

4

扫描仪通过

正在积极发布补丁并提供商业支持——因此,关于已停止支持Jackson CVE发现Jackson 。

针对每一项标准、框架或法规,都提供一个站得住脚的答案

EOL 软件会破坏全球各项法规对补丁管理的预期。NES 为您提供经过维护且由供应商支持的版本,附带明确的服务水平协议(SLA)和有据可查的补丁历史记录,以便向审计机构和监管机构证明合规性。

PCI DSS

美国

要求 6.3.3 规定,已知的关键或高严重性漏洞必须在 30 天内修复。Jackson 已达到生命周期结束(EOL)Jackson 补丁,将立即导致不符合要求——NES 将恢复补丁路径。

HIPAA

美国

不受支持的库使得处理电子健康信息(ePHI)的系统难以证明其具备合理的防护措施。NES 提供积极的维护和风险降低服务。

SOC 2

全球

信任服务标准要求及时修复漏洞并进行补丁管理。若依赖项已达到生命周期终止(EOL)且无技术支持,则无法通过认证。

NIS2

欧盟

第21条涉及补丁更新、漏洞和供应链管理。如果已停止支持的软件会带来风险,则实际上即为不符合规定。

DORA

欧盟

将生命周期结束(EOL)软件视为金融信息通信技术(ICT)资产的韧性缺陷。NES 实施了一项有据可查的补丁管理计划。

《网络韧性法》

欧盟

管理软件生命周期的安全性。NES 在支持期间确保对该库进行有效管理。

NIST CSF 2.0

美国

控制措施 PR.PS-02 要求各组织根据风险情况,主动维护或移除存在漏洞的软件。NES 可在无需强制升级的情况下实现合规。

FedRAMP

美国

持续监控要求按照既定周期修复漏洞。经过修补且得到供应商支持的构建版本可确保已停用的Jackson 安全边界Jackson 。

商业合同

全球

漏洞和配置管理控制措施要求识别技术漏洞,并确保软件符合安全标准。NES 可为已停产(EOL)软件恢复这种安全状态。

由安全工程师打造。由CNA提供支持。

HeroDevs 是一家经授权的 CVE 编号机构,有权发现并分配 CVE 标识符。 每次 NES forJackson 都会将所涵盖构建成果中已知的 CVE 数量清零,并随附直接映射至您需要修复的安全公告的 VEX 声明和发布说明——因此,报告中的“不受支持的依赖项”问题将不再出现。

HeroDevs 还是开源领域的长期资助者,支持那些Jackson 等软件Jackson 维护者和生态系统。

CVE编号机构

CVE 的发现与发布

每次构建时生成 VEX 语句

CVE 的发现与发布

承诺的服务水平协议(SLA)

基于严重程度的补丁分发

常见问题

NES能否成为升级的永久替代方案?
Jackson NES项目Jackson 提高合规性吗?
它是如何交付的?
Jackson (已停产)的即插即用替代品Jackson ?
NES支持Jackson 》?
什么是Jackson Never-Ending Support (NES) ?

联系我们

对开源库的永无止境支持有疑问?我们随时为您提供帮助!

了解 HeroDevs NES 产品如何确保您的系统安全和合规性。

了解我们的解决方案如何为贵组织带来价值。

获取符合您需求的详细定价信息。

谷歌标识莉莉徽标雅培标识方框标志EG 标志日立标识Dropbox 徽标NHS 标志工作日徽标Finra 徽标微软徽标桑坦德银行徽标
咨询专家

提交此表单即表示我已阅读并确认收到我们的《隐私政策》。

谢谢!您提交的材料已收到!
哎呀!提交表格时出了点问题。