即使Quarkus已停止维护,CVE 漏洞仍会持续出现。

Never-Ending Support (NES) 您的发布版本达到生命周期终止后,确保您的 Kubernetes 原生 Java 服务保持安全、合规且符合审计要求。当您受限于 Quarkus 2.16 或 3.20 版本时,NES 会为您的安全团队提供受支持的构建版本,从而让您能够掌控安全状态、升级时间表以及工程团队的工作重点。

深受企业信赖

谷歌标识微软徽标Finra 徽标桑坦德银行徽标
日立标志工作日徽标Dropbox 徽标

安全、合规与业务连续性,一站式解决

Quarkus 大约每月发布一个新版本,每个非 LTS 分支在下一版本发布的那一刻起,就不再获得社区修复。 即使是 LTS 分支,其积极支持周期也仅持续约一年。除非您紧跟每个新版本,否则您的服务很快就会退化到生命周期结束的版本,随之而来的 CVE 漏洞将无法修复,而安全扫描器会将每个构建标记为存在漏洞。NES for Quarkus 是您当前所用 2.16 或 3.20 发布分支中受支持的构建版本。

安全

风险:Quarkus 位于网络边缘,负责处理 HTTP、REST 和身份验证流量。当您的产品线达到生命周期终止(EOL)时,上游将无法提供修复。

针对您已达到生命周期终止(EOL)的产品线中所有严重等级的 CVE 漏洞提供修复,从而封堵了 HTTP、安全策略和反序列化攻击所依赖的漏洞窗口。

基于SLA的补丁分发与严重程度相关

针对您所使用的具体 2.16 或 3.20 版本所做的修复

核心、HTTP、REST、安全与数据覆盖范围

合规

风险:根据 CRA、DORA、NIS2、PCI DSS 和 SOC 2 标准,存在未解决的审计发现且无整改路径。

每个构建版本都会附带审计人员和扫描工具可读取的 VEX 语句,因此您拥有书面证据来解决“未受支持的依赖项”这一审计发现。

涵盖 SOC 2、PCI DSS、HIPAA 和 FedRAMP

DORA、NIS2、《欧盟网络弹性法案》等

VEX 语句及已记录的补丁历史

业务连续性

风险:Quarkus 主版本的强制升级可能会导致 Jakarta EE、MicroProfile 以及您的服务所依赖的扩展契约出现兼容性问题。

这是一个可直接替换的 quarkus-bom,您只需更换版本即可,无需修改应用程序代码,因此您可以按照自己的计划迁移 Quarkus 相关代码。

需要数月或数年的过渡期才能顺利完成迁移

不进行重写,不使用损坏的扩展

仅需强制框架迁移成本的一小部分

“试想一下,你不得不告诉客户,由于接下来这一年都要花在重写原本已经正常运行的代码上,因此无法提供他们一直要求的所有功能。 这绝不是任何首席技术官(CTO)愿意面对的局面……[NES]带来的影响远不止于维持基本运营——我们得以投资构建一个全新的组件库,提升用户体验,并推出直接有助于吸引新客户的功能。如果我们还陷在系统迁移的泥潭中,这一切都是不可能实现的。”

— 基尔瓦尔
瓦伦蒂娜·罗克斯,首席技术官

“借助 HeroDevs 的扩展支持服务,我们不仅成功降低了安全风险、确保了旧版应用程序的安全运行,还赢得了宝贵的时间来规划更可持续的长期迁移策略——所有这些都未影响客户体验,也完全符合监管要求。”

— Sanlam Private Wealth
金融服务

“我们陷入了典型的技术两难境地——要么花费宝贵的工程时间来更新一个我们原本就计划要替换的旧系统,要么接受日益加剧的安全风险。这两种选择都不符合我们的业务目标。……借助 NES,我们在不影响战略路线图的前提下维持了安全态势,同时还实现了可观的成本节约。”

— Statista
马库斯·沃尔夫,建筑师
Commonhaus基金会

生态系统合作伙伴关系

Commonhaus 基金会是一个由社区治理的开源项目非营利性平台,涵盖包括Jackson 在内的多个项目,旨在确保这些项目的长期维护与可持续发展。HeroDevs 很荣幸能成为Commonhaus 基金会开源可持续发展计划(OSSI)的创始成员。HeroDevs 与 Commonhaus 合作建立了这一以安全为重点的计划,Never-Ending Support (NES) 已停止维护的版本提供Never-Ending Support (NES) Jackson及其他由 Commonhaus 基金会管理的开源项目提供“永续支持”(NES)。

安装 NES 后的那一天,一切都会发生怎样的变化。

之前——痛苦

您的服务运行在已停止维护的 Quarkus 版本上

扫描工具会标记每个构建版本。上游不会发布任何补丁。当出现新的 HTTP 或安全策略相关 CVE 漏洞时,从漏洞披露到被利用的窗口期将一直持续,直到您完成迁移。

之后——与 HeroDevs 一起

NES 恢复您的补丁路径

Quarkus-bom 版本切换将恢复受 SLA 支持的 CVE 补丁在所涵盖扩展中的应用,同时您的 API 和应用程序行为保持不变。

之前——痛苦

一个尚无定论的发现

内部审计、SOC 2 以及客户安全问卷均指出您的quarkus-core 已达到生命周期终止(EOL)状态。除了订阅服务或仓促升级之外,没有其他补救方案——而且也无法向审计员给出令人信服的解释。

之后——与 HeroDevs 一起

调查结果显而易见,问卷答案不言自明

一个由供应商支持的、带有明确名称的构建版本,附带已承诺的服务水平协议(SLA)和VEX声明。扫描工具不再标记相关CVE,且您所引用的运行时环境符合PCI DSS、HIPAA、SOC 2、DORA和NIS2标准。

之前——痛苦

发布频率与路线图

跳过 Quarkus 的版本更新可能会带来 Jakarta EE、MicroProfile 以及扩展方面的变更,从而导致您的服务无法正常运行。为了跟上每月一次的发布节奏——或者仓促进行 LTS 版本升级——会导致工程师偏离既定路线图。

之后——与 HeroDevs 一起

按照自己的节奏进行迁移,而不是遵循既定的节奏

即插即用的物料清单(BOM)——无需修改代码。各团队由此获得充足的缓冲时间来规划合理的升级方案,同时确保其运行的系统始终保持安全、合规且稳定。

不仅仅是quarkus-core。

Quarkus 版的 NES 涵盖了大多数服务实际依赖的扩展:运行时和 CDI 核心、HTTP、REST 和消息传递层,以及安全、身份和持久化扩展。

内核与运行时

发动机

quarkus-core

quarkus-arc (CDI)

quarkus-vertx

bootstrap

HTTP、REST 与消息传递

边缘

quarkus-rest

quarkus-resteasy

quarkus-vertx-http

quarkus-grpc

quarkus-rest-client

smallrye-reactive-messaging

安全、数据与平台

胶水

quarkus-security

quarkus-oidc

quarkus-smallrye-jwt

hibernate

quarkus-agroal

postgresql

部署简便,不影响正常运行

pom.xml
<dependencyManagement>
<dependencies>
<dependency>
<groupId>com.herodevs.nes.io.quarkus.platform</groupId>
<artifactId>quarkus-bom</artifactId>
<version>2.16.12-quarkus</version>
<type>pom</type> <scope>import</scope>
</dependency>
</dependencies>
</dependencyManagement>
1

添加注册表项

在您的pom.xmlsettings.xml文件中将registry.herodevs.io注册为 Maven 仓库

2

设置您的令牌

请将您的 HeroDevs 认证令牌添加到settings.xml ,以便 构建过程能够获取已打补丁的构建产物。

3

交换物料清单

quarkus-bom指向 -nes 构建并重新构建。应用程序代码无需更改。

4

扫描仪通过

正在积极修复并提供商业支持——因此,关于已停止支持的 Quarkus 的 CVE 发现已关闭。

针对每一项标准、框架或法规,都提供一个站得住脚的答案

EOL 软件会破坏全球各项法规对补丁管理的预期。NES 为您提供经过维护且由供应商支持的版本,附带明确的服务水平协议(SLA)和有据可查的补丁历史记录,以便向审计机构和监管机构证明合规性。

PCI DSS

美国

要求 6.3.3 规定,已知的关键级和高严重性漏洞必须在 30 天内修复。如果 Quarkus 已达到生命周期终止(EOL)且上游没有补丁,则会导致不符合要求。NES 可恢复补丁路径。

HIPAA

美国

未受支持的框架使得难以证明处理电子受保护健康信息(ePHI)的系统具备合理的保障措施。NES 提供主动维护和风险降低服务。

SOC 2

全球

信任服务标准要求及时修复漏洞并进行补丁管理。除非存在补偿性支持方案,否则已停止支持(EOL)的依赖项会在审计中引发重大问题。NES 正是这一支持方案。

NIS2

欧盟

第21条涉及补丁管理、漏洞管理和供应链管理。运行已达到生命周期终止(EOL)且没有持续维护支持渠道的软件会带来风险,NIS2要求运营商积极采取措施降低此类风险。

DORA

欧盟

DORA 将生命周期结束(EOL)软件视为金融信息通信技术(ICT)资产的韧性漏洞。NES 为您提供经过维护的构建版本以及有文档记录的补丁管理计划。

《网络韧性法》

欧盟

管理包含数字元素的产品的软件生命周期安全。在保障期内,NES 将为您已达到生命周期结束(EOL)的 Quarkus 产品线提供经过维护和打补丁的构建版本。

NIST CSF 2.0

美国

控制措施 PR.PS-02 要求各组织根据风险情况,主动维护或移除存在漏洞的软件。NES 可在无需强制升级的情况下实现合规。

FedRAMP

美国

持续监控要求按照既定周期修复漏洞。经过修补且获得供应商支持的构建版本,可为您的信息安全运营办公室(ISSO)提供有据可依的修复路径,从而证明将已达到生命周期终止(EOL)的 Quarkus 保留在授权边界内的合理性。

商业合同

全球

漏洞和配置管理控制措施要求识别技术漏洞,并确保软件符合安全标准。NES 可为已停产(EOL)软件恢复这种安全状态。

由安全工程师打造,他们会为您运行的程序打补丁。

每个 NES for Quarkus 构建版本都会修复您所用版本系列中受影响扩展的已知 CVE,并附带与您的扫描器所标记的安全公告相对应的 VEX 声明和发布说明。

HeroDevs 是 CVE 编号授权机构,也是 Commonhaus 开源可持续发展倡议的创始成员,致力于为推动 Java 开源发展而提供资金支持,以维持维护者和生态系统的运转。

CVE编号机构

在HeroDevs覆盖的产品中发现并公布CVE。

每次构建都让人头疼

可供您的扫描仪机读

承诺的服务水平协议(SLA)

基于严重程度的补丁分发

常见问题

NES能否成为升级的永久替代方案?
NES for Quarkus 是否有助于符合合规要求?
“对已停产的 Quarkus 进行即插即用替换”是什么意思?
NES 支持哪些版本的 Quarkus?
什么是 QuarkusNever-Ending Support (NES) ?

联系我们

对开源库的永无止境支持有疑问?我们随时为您提供帮助!

了解 HeroDevs NES 产品如何确保您的系统安全和合规性。

了解我们的解决方案如何为贵组织带来价值。

获取符合您需求的详细定价信息。

谷歌标识莉莉徽标雅培标识方框标志EG 标志日立标识Dropbox 徽标NHS 标志工作日徽标Finra 徽标微软徽标桑坦德银行徽标
咨询专家

提交此表单即表示我已阅读并确认收到我们的《隐私政策》。

谢谢!您提交的材料已收到!
哎呀!提交表格时出了点问题。