即使Quarkus已停止维护,CVE 漏洞仍会持续出现。
Never-Ending Support (NES) 您的发布版本达到生命周期终止后,确保您的 Kubernetes 原生 Java 服务保持安全、合规且符合审计要求。当您受限于 Quarkus 2.16 或 3.20 版本时,NES 会为您的安全团队提供受支持的构建版本,从而让您能够掌控安全状态、升级时间表以及工程团队的工作重点。
深受企业信赖

安全、合规与业务连续性,一站式解决
Quarkus 大约每月发布一个新版本,每个非 LTS 分支在下一版本发布的那一刻起,就不再获得社区修复。 即使是 LTS 分支,其积极支持周期也仅持续约一年。除非您紧跟每个新版本,否则您的服务很快就会退化到生命周期结束的版本,随之而来的 CVE 漏洞将无法修复,而安全扫描器会将每个构建标记为存在漏洞。NES for Quarkus 是您当前所用 2.16 或 3.20 发布分支中受支持的构建版本。
安全
风险:Quarkus 位于网络边缘,负责处理 HTTP、REST 和身份验证流量。当您的产品线达到生命周期终止(EOL)时,上游将无法提供修复。
针对您已达到生命周期终止(EOL)的产品线中所有严重等级的 CVE 漏洞提供修复,从而封堵了 HTTP、安全策略和反序列化攻击所依赖的漏洞窗口。
基于SLA的补丁分发与严重程度相关
针对您所使用的具体 2.16 或 3.20 版本所做的修复
核心、HTTP、REST、安全与数据覆盖范围
合规
风险:根据 CRA、DORA、NIS2、PCI DSS 和 SOC 2 标准,存在未解决的审计发现且无整改路径。
每个构建版本都会附带审计人员和扫描工具可读取的 VEX 语句,因此您拥有书面证据来解决“未受支持的依赖项”这一审计发现。
涵盖 SOC 2、PCI DSS、HIPAA 和 FedRAMP
DORA、NIS2、《欧盟网络弹性法案》等
VEX 语句及已记录的补丁历史
业务连续性
风险:Quarkus 主版本的强制升级可能会导致 Jakarta EE、MicroProfile 以及您的服务所依赖的扩展契约出现兼容性问题。
这是一个可直接替换的 quarkus-bom,您只需更换版本即可,无需修改应用程序代码,因此您可以按照自己的计划迁移 Quarkus 相关代码。
需要数月或数年的过渡期才能顺利完成迁移
不进行重写,不使用损坏的扩展
仅需强制框架迁移成本的一小部分

生态系统合作伙伴关系
Commonhaus 基金会是一个由社区治理的开源项目非营利性平台,涵盖包括Jackson 在内的多个项目,旨在确保这些项目的长期维护与可持续发展。HeroDevs 很荣幸能成为Commonhaus 基金会开源可持续发展计划(OSSI)的创始成员。HeroDevs 与 Commonhaus 合作建立了这一以安全为重点的计划,Never-Ending Support (NES) 已停止维护的版本提供Never-Ending Support (NES) Jackson及其他由 Commonhaus 基金会管理的开源项目提供“永续支持”(NES)。
安装 NES 后的那一天,一切都会发生怎样的变化。
之前——痛苦
您的服务运行在已停止维护的 Quarkus 版本上
扫描工具会标记每个构建版本。上游不会发布任何补丁。当出现新的 HTTP 或安全策略相关 CVE 漏洞时,从漏洞披露到被利用的窗口期将一直持续,直到您完成迁移。
之后——与 HeroDevs 一起
NES 恢复您的补丁路径
Quarkus-bom 版本切换将恢复受 SLA 支持的 CVE 补丁在所涵盖扩展中的应用,同时您的 API 和应用程序行为保持不变。
之前——痛苦
一个尚无定论的发现
内部审计、SOC 2 以及客户安全问卷均指出您的quarkus-core 已达到生命周期终止(EOL)状态。除了订阅服务或仓促升级之外,没有其他补救方案——而且也无法向审计员给出令人信服的解释。
之后——与 HeroDevs 一起
调查结果显而易见,问卷答案不言自明
一个由供应商支持的、带有明确名称的构建版本,附带已承诺的服务水平协议(SLA)和VEX声明。扫描工具不再标记相关CVE,且您所引用的运行时环境符合PCI DSS、HIPAA、SOC 2、DORA和NIS2标准。
之前——痛苦
发布频率与路线图
跳过 Quarkus 的版本更新可能会带来 Jakarta EE、MicroProfile 以及扩展方面的变更,从而导致您的服务无法正常运行。为了跟上每月一次的发布节奏——或者仓促进行 LTS 版本升级——会导致工程师偏离既定路线图。
之后——与 HeroDevs 一起
按照自己的节奏进行迁移,而不是遵循既定的节奏
即插即用的物料清单(BOM)——无需修改代码。各团队由此获得充足的缓冲时间来规划合理的升级方案,同时确保其运行的系统始终保持安全、合规且稳定。
不仅仅是quarkus-core。
Quarkus 版的 NES 涵盖了大多数服务实际依赖的扩展:运行时和 CDI 核心、HTTP、REST 和消息传递层,以及安全、身份和持久化扩展。
内核与运行时
发动机
quarkus-core
quarkus-arc (CDI)
quarkus-vertx
bootstrap
HTTP、REST 与消息传递
边缘
quarkus-rest
quarkus-resteasy
quarkus-vertx-http
quarkus-grpc
quarkus-rest-client
smallrye-reactive-messaging
安全、数据与平台
胶水
quarkus-security
quarkus-oidc
quarkus-smallrye-jwt
hibernate
quarkus-agroal
postgresql
部署简便,不影响正常运行
添加注册表项
在您的pom.xml或settings.xml文件中将registry.herodevs.io注册为 Maven 仓库。
设置您的令牌
请将您的 HeroDevs 认证令牌添加到settings.xml 中,以便 构建过程能够获取已打补丁的构建产物。
交换物料清单
将quarkus-bom指向 -nes 构建并重新构建。应用程序代码无需更改。
扫描仪通过
正在积极修复并提供商业支持——因此,关于已停止支持的 Quarkus 的 CVE 发现已关闭。
针对每一项标准、框架或法规,都提供一个站得住脚的答案
EOL 软件会破坏全球各项法规对补丁管理的预期。NES 为您提供经过维护且由供应商支持的版本,附带明确的服务水平协议(SLA)和有据可查的补丁历史记录,以便向审计机构和监管机构证明合规性。
PCI DSS
要求 6.3.3 规定,已知的关键级和高严重性漏洞必须在 30 天内修复。如果 Quarkus 已达到生命周期终止(EOL)且上游没有补丁,则会导致不符合要求。NES 可恢复补丁路径。
HIPAA
未受支持的框架使得难以证明处理电子受保护健康信息(ePHI)的系统具备合理的保障措施。NES 提供主动维护和风险降低服务。
SOC 2
信任服务标准要求及时修复漏洞并进行补丁管理。除非存在补偿性支持方案,否则已停止支持(EOL)的依赖项会在审计中引发重大问题。NES 正是这一支持方案。
NIS2
第21条涉及补丁管理、漏洞管理和供应链管理。运行已达到生命周期终止(EOL)且没有持续维护支持渠道的软件会带来风险,NIS2要求运营商积极采取措施降低此类风险。
DORA
DORA 将生命周期结束(EOL)软件视为金融信息通信技术(ICT)资产的韧性漏洞。NES 为您提供经过维护的构建版本以及有文档记录的补丁管理计划。
《网络韧性法》
管理包含数字元素的产品的软件生命周期安全。在保障期内,NES 将为您已达到生命周期结束(EOL)的 Quarkus 产品线提供经过维护和打补丁的构建版本。
NIST CSF 2.0
控制措施 PR.PS-02 要求各组织根据风险情况,主动维护或移除存在漏洞的软件。NES 可在无需强制升级的情况下实现合规。
FedRAMP
持续监控要求按照既定周期修复漏洞。经过修补且获得供应商支持的构建版本,可为您的信息安全运营办公室(ISSO)提供有据可依的修复路径,从而证明将已达到生命周期终止(EOL)的 Quarkus 保留在授权边界内的合理性。
商业合同
漏洞和配置管理控制措施要求识别技术漏洞,并确保软件符合安全标准。NES 可为已停产(EOL)软件恢复这种安全状态。
由安全工程师打造,他们会为您运行的程序打补丁。
每个 NES for Quarkus 构建版本都会修复您所用版本系列中受影响扩展的已知 CVE,并附带与您的扫描器所标记的安全公告相对应的 VEX 声明和发布说明。
HeroDevs 是 CVE 编号授权机构,也是 Commonhaus 开源可持续发展倡议的创始成员,致力于为推动 Java 开源发展而提供资金支持,以维持维护者和生态系统的运转。
CVE编号机构
在HeroDevs覆盖的产品中发现并公布CVE。
每次构建都让人头疼
可供您的扫描仪机读
承诺的服务水平协议(SLA)
基于严重程度的补丁分发
常见问题
NES 的设计旨在为您提供全面支持,只要您选择继续运行该受支持的版本,支持将持续有效。许多客户将其作为计划升级前的过渡方案。还有些客户则无限期地继续使用 NES,因为该版本完全满足了他们的需求。这两种使用场景均在支持范围内。
是的。NES 为您提供经过维护的构建版本,其中包含已承诺的服务水平协议(SLA)、VEX 声明以及有据可查的补丁历史记录。这些内容综合起来,可为审计员提供其所期望的符合 PCI DSS 6.3.3、SOC 2 信任服务准则、NIS2 第 21 条、DORA 以及《欧盟网络弹性法案》等要求的证据。
这意味着您需要将 quarkus-bom 的版本切换为 NES 标签,然后重新构建。您的应用程序代码、扩展和 API 均保持不变。构建生成的运行时行为与您当前的 EOL Quarkus 完全一致,同时已应用 CVE 修复程序。
NES for Quarkus 支持 Quarkus 2.16.x 和 Quarkus 3.20.x,这是两条部署最广泛的已终止支持(EOL)长期支持(LTS)版本线。如果您的服务运行在其他 Quarkus 版本线上,请联系我们以商讨支持范围。
NES for Quarkus 是由 HeroDevs 发布的、针对已停止维护的 Quarkus 发布版本的受支持构建版本。它包含已承诺 SLA 中的 CVE 修复程序、可供审计人员和扫描工具使用的 VEX 语句,以及一个可直接替换的 quarkus-bom,您的团队无需修改应用程序代码即可直接替换使用。
联系我们
对开源库的永无止境支持有疑问?我们随时为您提供帮助!
了解 HeroDevs NES 产品如何确保您的系统安全和合规性。
了解我们的解决方案如何为贵组织带来价值。
获取符合您需求的详细定价信息。
随时掌握 Java 和 JVM 安全与合规性更新
查看所有文章

.png)
