当 Jackson 达到生命周期终止(EOL)时,CVE 漏洞报告仍会持续出现。
Never-Ending Support (NES) JacksonNever-Ending Support (NES) ,即使在产品生命周期结束之后,也能确保作为您 Java 技术栈核心的 JSON 解析器保持安全、合规且符合审计要求。NES 让您的安全团队、工程师和管理层重新获得了在产品生命周期结束时失去的能力:自主掌控安全态势、制定时间表,并决定业务应将关注点放在何处。
深受企业信赖

安全、合规与业务连续性——一举解决
Jackson Spring 中的默认 JSON 序列化器,几乎存在于您发布的每个 JVM 服务中——但 2.13.x、2.14.x 和 2.15.x 系列已不再接收上游修复程序,因此新的 CVE 无法得到修复,安全扫描工具会将每个构建版本标记为存在漏洞。 NES forJackson 2.13.x、2.14.x 和 2.15.x 系列的安全构建版本,修复了已停用(EOL)的 2.x 系列中所有严重级别下的 CVE 漏洞。
安全
风险:反序列化是攻击者的首选目标——而产品生命周期结束(EOL)意味着上游无法再进行修复。
针对已达到生命周期结束(EOL)的 2.x 系列中所有严重等级的CVE漏洞进行修复——从而封堵了反序列化攻击所依赖的漏洞窗口。
基于SLA的补丁分发与严重程度相关
针对 2.13.x、2.14.x 和 2.15.x 的回溯修复
核心、数据格式、数据类型和模块覆盖范围
合规
风险:根据CRA、PCI DSS、SOC 2、DORA和NIS2标准,存在未解决的审计发现且无修复路径。
扫描器将不再对已停用的Jackson 中的CVE进行标记Jackson 每个构建版本均包含VEX语句,因此“不受支持的依赖项”这一发现将从您的报告中移除。
涵盖 SOC 2、PCI DSS、HIPAA 和 FedRAMP
DORA、NIS2、《欧盟网络弹性法案》等
VEX 语句及已记录的补丁历史
业务连续性
风险:仓促升级会导致自定义序列化器和网络传输协议失效。
这是一个即插即用的 Maven 工件,只需更改一个坐标即可替换,无需修改应用程序代码——因此您可以按照自己的计划迁移Jackson 。
需要数月或数年的过渡期才能顺利完成迁移
不进行重写,不使用有问题的序列化器
迁移成本的一小部分

生态系统合作伙伴关系
Commonhaus 基金会是一个由社区治理的开源项目非营利性平台,涵盖包括Jackson 在内的多个项目,旨在确保这些项目的长期维护与可持续发展。HeroDevs 很荣幸能成为Commonhaus 基金会开源可持续发展计划(OSSI)的创始成员。HeroDevs 与 Commonhaus 合作建立了这一以安全为重点的计划,Never-Ending Support (NES) 已停止维护的版本提供Never-Ending Support (NES) Jackson及其他由 Commonhaus 基金会管理的开源项目提供“永续支持”(NES)。
安装 NES 后的那一天,一切都会发生怎样的变化。
之前——痛苦
每个服务都使用 EOLJackson解析 JSON
扫描程序会标记每个构建版本,上游没有补丁发布,而且一旦出现新的反序列化 CVE,从漏洞披露到被利用的时间窗口就完全敞开了。
之后——与 HeroDevs 一起
解析器从“暴露”状态转为“受保护”状态
对 NES 构建版本进行一个坐标的交换,即可恢复 2.13.x、2.14.x 和 2.15.x 版本中基于 SLA 的 CVE 补丁——同时公共 API 和数据传输格式保持不变。
之前——痛苦
一个尚无定论的发现
内部审计、SOC 2 以及客户安全问卷均指出jackson 已达到生命周期终止(EOL)状态。目前既无补救方案,也无法向审计员提供令人信服的解释。
之后——与 HeroDevs 一起
调查结果显而易见,问卷答案不言自明
一个由供应商支持的、带有明确名称的构建版本,附带已承诺的服务水平协议(SLA)和VEX声明。扫描工具不再标记相关CVE,且您所引用的运行时环境符合PCI DSS、HIPAA、SOC 2、DORA和NIS2标准。
之前——痛苦
EOL 时钟与路线图
修改Jackson 可能会导致数百个服务中的自定义序列化器和网络传输协议出现故障。仓促的迁移不仅会引发生产环境事故,还会使工程师无法按计划推进工作。
之后——与 HeroDevs 一起
按照自己的节奏进行迁移,而不是被时间所迫
字节级直接替换——无需修改代码。各团队由此获得充裕的时间来规划合理的升级方案,同时 2.13.x、2.14.x 和 2.15.x 系列仍能保持安全、合规和稳定。
真实的CVE漏洞,已在已停用的2.13.x、2.14.x和2.15.x系列中修复。
2.x 系列中已修复了 10 多个Jackson 。
不仅仅是jackson。
Jackson 的 NESJackson 您的服务实际调用的组件——核心、数据格式、数据类型,以及将Jackson 您技术栈其余部分绑定的模块和集成。
Core 和 databind
发动机
jackson
jackson
jackson
jackson
格式与类型
超越 JSON
dataformat-xml
dataformat-yaml
dataformat-csv
数据格式-cbor
datatype-jsr310
数据类型-JDK8
模块与集成
胶水
module-kotlin
module-scala
module-afterburner
module-blackbird
jaxrs-json-provider
jr-objects
部署简便,不影响正常运行。
添加注册表项
在您的pom.xml或settings.xml文件中将 registry.herodevs.io注册为 Maven 仓库。
设置您的令牌
请将您的 HeroDevs 认证令牌添加到settings.xml 中,以便 构建过程能够获取已打补丁的构建产物。
调整坐标
将版本更改为 -nes 构建版本,然后重新构建。应用程序代码无需更改。
扫描仪通过
正在积极发布补丁并提供商业支持——因此,关于已停止支持Jackson CVE发现Jackson 。
针对每一项标准、框架或法规,都提供一个站得住脚的答案
EOL 软件会破坏全球各项法规对补丁管理的预期。NES 为您提供经过维护且由供应商支持的版本,附带明确的服务水平协议(SLA)和有据可查的补丁历史记录,以便向审计机构和监管机构证明合规性。
PCI DSS
要求 6.3.3 规定,已知的关键或高严重性漏洞必须在 30 天内修复。Jackson 已达到生命周期结束(EOL)Jackson 补丁,将立即导致不符合要求——NES 将恢复补丁路径。
HIPAA
不受支持的库使得处理电子健康信息(ePHI)的系统难以证明其具备合理的防护措施。NES 提供积极的维护和风险降低服务。
SOC 2
信任服务标准要求及时修复漏洞并进行补丁管理。若依赖项已达到生命周期终止(EOL)且无技术支持,则无法通过认证。
NIS2
第21条涉及补丁更新、漏洞和供应链管理。如果已停止支持的软件会带来风险,则实际上即为不符合规定。
DORA
将生命周期结束(EOL)软件视为金融信息通信技术(ICT)资产的韧性缺陷。NES 实施了一项有据可查的补丁管理计划。
《网络韧性法》
管理软件生命周期的安全性。NES 在支持期间确保对该库进行有效管理。
NIST CSF 2.0
控制措施 PR.PS-02 要求各组织根据风险情况,主动维护或移除存在漏洞的软件。NES 可在无需强制升级的情况下实现合规。
FedRAMP
持续监控要求按照既定周期修复漏洞。经过修补且得到供应商支持的构建版本可确保已停用的Jackson 安全边界Jackson 。
商业合同
漏洞和配置管理控制措施要求识别技术漏洞,并确保软件符合安全标准。NES 可为已停产(EOL)软件恢复这种安全状态。
由安全工程师打造。由CNA提供支持。
HeroDevs 是一家经授权的 CVE 编号机构,有权发现并分配 CVE 标识符。 每次 NES forJackson 都会将所涵盖构建成果中已知的 CVE 数量清零,并随附直接映射至您需要修复的安全公告的 VEX 声明和发布说明——因此,报告中的“不受支持的依赖项”问题将不再出现。
HeroDevs 还是开源领域的长期资助者,支持那些Jackson 等软件Jackson 维护者和生态系统。
CVE编号机构
CVE 的发现与发布
每次构建时生成 VEX 语句
CVE 的发现与发布
承诺的服务水平协议(SLA)
基于严重程度的补丁分发
常见问题
不。NES 仅在您的迁移期间弥补了安全漏洞——它并非迁移至受支持的Jackson 永久替代方案。它能为您争取时间,让您按照自己的计划进行升级,同时确保系统安全且符合审计要求。
是的。安装完成后,扫描器将不再对Jackson 进行标记Jackson 相关构建产物已获得主动补丁更新和商业支持。NES通过提供具有明确服务水平协议(SLA)、VEX声明以及记录在案的补丁历史,帮助满足PCI DSS、HIPAA、FedRAMP、SOC 2、DORA、NIS2以及《欧盟网络弹性法案》对补丁管理的要求。
作为 HeroDevs Maven 注册表(registry.herodevs.io)上的即插即用替代组件。一个 NES 坐标的形式如下:com.herodevs.nes.fasterxml.jackson.corejackson:2.13.jackson.13.6。
NES 构建保留了Jackson .x 的公共 API 和网络传输行为。您只需添加 HeroDevs Maven 注册表,使用您的令牌进行身份验证,并修改版本坐标——无需更改应用程序代码,自定义序列化器和模块仍可正常工作。
Jackson 的 NESJackson 2.x 系列的所有组件,包括核心、数据格式、数据类型、模块和集成组件——而不仅仅是jackson。如果您使用的是 2.10–2.12 等较旧的版本,请联系 HeroDevs 了解支持情况。
NES forJackson HeroDevs 为仍在使用已停止维护的 2.x 系列版本的组织提供的、Jackson 库的商业支持版本。这是一个可直接替换的 Maven 构建产物,提供持续的漏洞修复和合规性支持,使团队能够按照自己的时间表规划并执行迁移。
联系我们
对开源库的永无止境支持有疑问?我们随时为您提供帮助!
了解 HeroDevs NES 产品如何确保您的系统安全和合规性。
了解我们的解决方案如何为贵组织带来价值。
获取符合您需求的详细定价信息。
随时掌握 Java 和 JVM 安全与合规性更新
查看所有文章

.png)
