全部标签
写点什么
OpenHarmony算法元宇宙MySQL移动开发学习方法Web3.0高效工作数据库Python音视频前端AI大数据团队管理程序员运维深度思考低代码redisgolang微服务架构flutter 查看更多

com.google.guava:guava 组件安全漏洞及健康分析

作者:墨菲安全
  • 2023-08-30
    北京

  • 本文字数:1614 字

    阅读完需:约 5 分钟

com.google.guava:guava 组件安全漏洞及健康分析

组件简介


Guava 是 Google 的一组核心 Java 库,其中包括新的集合类型(例如 multimap 和 multiset)、不可变集合、图形库以及用于并发、I/O、哈希、原语、字符串等的实用程序。

官网:https://guava.dev/

官方仓库:https://github.com/google/guava

参考链接:

https://packages.ecosyste.ms/registries/repo1.maven.org/packages/com.google.guava:guava

组件健康度


综上所述,com.google.guava:guava 是一个健康度较高的组件,具有成熟的技术、活跃的社区、频繁的更新和维护、良好的兼容性和丰富的文档和支持。

参考链接:

https://github.com/google/guava

https://github.com/google/guava/releases

https://guava.dev/

组件许可证解读

Apache License 2.0 是一种开源软件许可证,广泛用于授权开源项目和代码。Apache License 2.0 允许用户自由地使用、修改和分发受许可的软件,而无需支付版权费用或专利费用。它鼓励开发者共享他们的代码,并保护用户的权利。以下是该许可证的一些重要特点:

  1. 代码使用权:用户可以自由地使用、复制、修改、合并、发布、分发和销售受许可软件。

  2. 版权声明:用户必须在所有源代码副本中保留原始的版权声明、许可证声明和免责声明。

  3. 修改代码:如果用户对代码进行了修改,需要清楚标明哪些部分发生了变化,并不能暗示原作者同意这些修改。

  4. 商标使用:Apache License 2.0 并未授予使用原软件的任何商标或名称的权利。

  5. 专利许可:该许可证授予了在使用、修改或分发受许可软件时相关专利的非独占许可。这意味着如果用户授权其他人使用该软件,相关专利许可也会传递给接收方。

  6. 再许可:用户可以将受 Apache License 2.0 许可的代码作为一部分整合到其它开源项目中,并使用不同的许可证授权整个项目。但是,需要在代码中显式地说明使用了 Apache License 2.0 许可的部分。

需要注意的是,Apache License 2.0 并不保证软件没有缺陷或不稳定性,使用该软件的风险由用户自行承担。

许可证原文链接:https://github.com/google/guava/blob/master/LICENSE

组件漏洞版本及修复方案


同类型可替代组件

  • Caffeine:一个基于 Java 8 的高性能、近乎最优的缓存库,支持多种过期策略和异步加载。官网:https://github.com/ben-manes/caffeine

  • Eclipse Collections:一个提供了丰富的集合类型和实用工具的 Java 库,包括列表、集合、映射、多映射、堆栈、袋子、双端队列等。官网:https://eclipse.dev/collections/ja/index.html

  • Apache Commons Collections:一个扩展了 Java 集合框架的库,提供了一些新的集合类型,如双向映射、循环缓冲区、有序集合等,以及一些转换器、迭代器、比较器等实用工具。官网:https://commons.apache.org/proper/commons-collections/

  • Javatuples:一个简单而强大的 Java 元组库,支持从一元组到十元组的不可变对象,以及一些操作元组的方法。官网:https://www.javatuples.org/

组件 SBOM


该 SBOM 清单仅展示部分内容

完整 SBOM 清单及检测报告:

https://www.murphysec.com/console/report/1696087042139447296/1696087065539469312?allow=1


 关于墨知

墨知是国内首个专注软件供应链安全领域的技术社区,社区致力于为国内数百万技术人员提供全方位的软件供应链安全专业知识内容,包括软件供应链安全技术、漏洞情报、开源组件安全、SBOM、软件成分分析(SCA)、开源许可证合规等前沿技术及最佳实践。

墨知主要内容分类:

  1. 漏洞分析:漏洞_墨知 (oscs1024.com)

  2. 投毒分析:投毒分析_墨知 (oscs1024.com)

  3. 行业动态:行业动态_墨知 (oscs1024.com)

  4. 行业研究:行业研究_墨知 (oscs1024.com)

  5. 工具推荐:工具推荐_墨知 (oscs1024.com)

  6. 最佳实践:最佳实践_墨知 (oscs1024.com)

  7. 技术科普:技术科普_墨知 (oscs1024.com)

墨知通过促进知识共享、技术研究和合作交流,帮助组织和个人提高软件供应链的安全性,减少供应链攻击的风险,并保护软件生态系统的整体安全。

进入社区:墨知 - 软件供应链安全技术社区

原文出处:com.google.guava:guava 组件安全漏洞及健康分析_墨知 (oscs1024.com)

划线
评论
复制
发布于: 刚刚阅读数: 5

版权声明: 本文为 InfoQ 作者【墨菲安全】的原创文章。

原文链接:【http://xie.infoq.cn/article/198037bac686463a9cbff0da9】。

本文遵守【CC-BY 4.0】协议,转载请保留原文出处及本版权声明。

组件组件健康度
用户头像

墨菲安全

关注

还未添加个人签名 2022-03-23 加入

还未添加个人简介

评论

发布
暂无评论
Copyright © 2023, Geekbang Technology Ltd. All rights reserved. 极客邦控股(北京)有限公司 | 京 ICP 备 16027448 号 - 5京公网安备京公网安备 11010502039052号 | 产品资质
com.google.guava:guava 组件安全漏洞及健康分析_组件_墨菲安全_InfoQ写作社区