国产无码综合区,色欲AV无码国产永久播放,无码天堂亚洲国产AV,国产日韩欧美女同一区二区

com.google.guava:guava 組件安全漏洞及健康分析

2年前作者：開源生態(tài)安全OSCS分類：Toy博客閱讀(24)違法舉報

這篇具有很好參考價值的文章主要介紹了com.google.guava:guava 組件安全漏洞及健康分析。希望對大家有所幫助。如果存在錯誤或未考慮完全的地方，請大家不吝賜教，您也可以點擊"舉報違法"按鈕提交疑問。

com.google.guava:guava 組件安全漏洞及健康分析,組件分析,組件分析,組件安全,網(wǎng)絡(luò)安全,安全

組件簡介

維護(hù)者	google組織	許可證類型	Apache-2.0
首次發(fā)布	2010 年 4 月 26 日	最新發(fā)布時間	2023 年 8 月 1 日
GitHub Star	48189	GitHub Fork	10716
依賴包	28,694	依賴存儲庫	219,576

Guava 是 Google 的一組核心 Java 庫，其中包括新的集合類型（例如 multimap 和 multiset）、不可變集合、圖形庫以及用于并發(fā)、I/O、哈希、原語、字符串等的實用程序。

官網(wǎng)：Guava

官方倉庫：https://github.com/google/guava

參考鏈接：

https://packages.ecosyste.ms/registries/repo1.maven.org/packages/com.google.guava:guava

組件健康度

技術(shù)健康度	該組件是由谷歌開發(fā)的一套核心Java庫，包含了多種新的集合類型（如multimap和multiset）、不可變集合、圖形庫以及并發(fā)、I/O、哈希、基本類型、字符串等方面的實用工具。該組件的代碼質(zhì)量高，測試覆蓋率高，性能優(yōu)化良好，功能豐富而穩(wěn)定。
社區(qū)健康度	該組件在GitHub上有超過4.8萬個星標(biāo)，1萬多個分支，632個未解決的問題和93個未合并的拉取請求。該組件有一個活躍的社區(qū)，用戶可以在StackOverflow上提出問題，或者在guava-announce和guava-discuss兩個郵件列表上獲取最新的發(fā)布信息和討論話題。
更新和維護(hù)頻率	該組件的最新版本是32.1.2，于2023年8月1日發(fā)布。該組件的發(fā)布周期大約為3個月左右，每次發(fā)布都會包含一些新特性、改進(jìn)和修復(fù)。該組件的開發(fā)團(tuán)隊由谷歌內(nèi)部的Java核心庫團(tuán)隊負(fù)責(zé)，他們對該組件的更新和維護(hù)非常積極和專業(yè)。
兼容性	該組件提供了兩種不同的"風(fēng)味"：一種是用于Java 8或更高版本的JRE上，另一種是用于Android或任何想要與Android兼容的庫上。這兩種風(fēng)味在Maven版本字段中分別指定為32.1.2-jre或32.1.2-android。該組件只需要一個運行時依賴，即failureaccess-1.0.1.jar。該組件遵循語義化版本控制原則，盡量保持向后兼容性，但也會在必要時對一些標(biāo)記為@Beta注解的API進(jìn)行變更。
文檔和支持	該組件有一個完善的用戶指南Guava Explained，以及詳細(xì)的Javadoc文檔。該組件還提供了JDiff文檔來展示不同版本之間的API差異。此外，該組件還有一個GitHub項目頁面，用戶可以在上面查看源代碼、提交問題或拉取請求、參與討論等。

綜上所述，com.google.guava:guava 是一個健康度較高的組件，具有成熟的技術(shù)、活躍的社區(qū)、頻繁的更新和維護(hù)、良好的兼容性和豐富的文檔和支持。

參考鏈接：

https://github.com/google/guava

https://github.com/google/guava/releases

Guava

組件許可證解讀

Apache License 2.0 是一種開源軟件許可證，廣泛用于授權(quán)開源項目和代碼。Apache License 2.0 允許用戶自由地使用、修改和分發(fā)受許可的軟件，而無需支付版權(quán)費用或?qū)＠M用。它鼓勵開發(fā)者共享他們的代碼，并保護(hù)用戶的權(quán)利。以下是該許可證的一些重要特點：

代碼使用權(quán)：用戶可以自由地使用、復(fù)制、修改、合并、發(fā)布、分發(fā)和銷售受許可軟件。
版權(quán)聲明：用戶必須在所有源代碼副本中保留原始的版權(quán)聲明、許可證聲明和免責(zé)聲明。
修改代碼：如果用戶對代碼進(jìn)行了修改，需要清楚標(biāo)明哪些部分發(fā)生了變化，并不能暗示原作者同意這些修改。
商標(biāo)使用：Apache License 2.0 并未授予使用原軟件的任何商標(biāo)或名稱的權(quán)利。
專利許可：該許可證授予了在使用、修改或分發(fā)受許可軟件時相關(guān)專利的非獨占許可。這意味著如果用戶授權(quán)其他人使用該軟件，相關(guān)專利許可也會傳遞給接收方。
再許可：用戶可以將受 Apache License 2.0 許可的代碼作為一部分整合到其它開源項目中，并使用不同的許可證授權(quán)整個項目。但是，需要在代碼中顯式地說明使用了 Apache License 2.0 許可的部分。

需要注意的是，Apache License 2.0 并不保證軟件沒有缺陷或不穩(wěn)定性，使用該軟件的風(fēng)險由用戶自行承擔(dān)。

許可證原文鏈接：https://github.com/google/guava/blob/master/LICENSE

組件漏洞版本及修復(fù)方案

漏洞編號	漏洞標(biāo)題	漏洞等級	影響版本	修復(fù)版本
MPS-mfku-xzh3	Guava<32.0.0 存在競爭條件漏洞	中危	[1.0,32.0.0-jre)	32.0.0-jre
MPS-2020-17429	Google Guava 訪問控制錯誤漏洞	低危	(-∞,30.0-jre)	30.0-jre
MPS-2018-5515	Google Guava 不可信數(shù)據(jù)的反序列化漏洞	中危	[24.1.1-android,24.1.1-jre)	24.1.1-jre

同類型可替代組件

Caffeine：一個基于Java 8的高性能、近乎最優(yōu)的緩存庫，支持多種過期策略和異步加載。官網(wǎng)：https://github.com/ben-manes/caffeine
Eclipse Collections：一個提供了豐富的集合類型和實用工具的Java庫，包括列表、集合、映射、多映射、堆棧、袋子、雙端隊列等。官網(wǎng)：Eclipse Collections - Features you want with the collections you need. (日本語ページ)
Apache Commons Collections：一個擴(kuò)展了Java集合框架的庫，提供了一些新的集合類型，如雙向映射、循環(huán)緩沖區(qū)、有序集合等，以及一些轉(zhuǎn)換器、迭代器、比較器等實用工具。官網(wǎng)：Collections – Home
Javatuples：一個簡單而強(qiáng)大的Java元組庫，支持從一元組到十元組的不可變對象，以及一些操作元組的方法。官網(wǎng)：javatuples - Main

組件SBOM

組件名稱	版本	是否直接依賴	倉庫
com.google.guava:listenablefuture	9999.0-empty-to-avoid-conflict-with-guava	是	maven
com.google.guava:listenablefuture	1.0	是	maven
com.google.errorprone:error_prone_annotations	2.21.1	是	maven
com.google.guava:guava	HEAD-jre-SNAPSHOT	是	maven
org.hamcrest:hamcrest-core	1.3	否	maven
com.google.j2objc:j2objc-annotations	2.8	是	maven
com.google.guava:guava	HEAD-android-SNAPSHOT	是	maven
com.google.guava:failureaccess	1.0.1	是	maven
junit:junit	4.13.2	是	maven

該SBOM清單僅展示部分內(nèi)容

完整SBOM清單及檢測報告：

墨菲安全 | 為您提供專業(yè)的軟件供應(yīng)鏈安全管理

關(guān)于墨知

墨知是國內(nèi)首個專注軟件供應(yīng)鏈安全領(lǐng)域的技術(shù)社區(qū)，社區(qū)致力于為國內(nèi)數(shù)百萬技術(shù)人員提供全方位的軟件供應(yīng)鏈安全專業(yè)知識內(nèi)容，包括軟件供應(yīng)鏈安全技術(shù)、漏洞情報、開源組件安全、SBOM、軟件成分分析（SCA）、開源許可證合規(guī)等前沿技術(shù)及最佳實踐。

墨知主要內(nèi)容分類：

漏洞分析：漏洞_墨知 (oscs1024.com)
投毒分析：投毒分析_墨知 (oscs1024.com)
行業(yè)動態(tài)：行業(yè)動態(tài)_墨知 (oscs1024.com)
行業(yè)研究：行業(yè)研究_墨知 (oscs1024.com)
工具推薦：工具推薦_墨知 (oscs1024.com)
最佳實踐：最佳實踐_墨知 (oscs1024.com)
技術(shù)科普：技術(shù)科普_墨知 (oscs1024.com)

墨知通過促進(jìn)知識共享、技術(shù)研究和合作交流，幫助組織和個人提高軟件供應(yīng)鏈的安全性，減少供應(yīng)鏈攻擊的風(fēng)險，并保護(hù)軟件生態(tài)系統(tǒng)的整體安全。

進(jìn)入社區(qū)：墨知 - 軟件供應(yīng)鏈安全技術(shù)社區(qū)

原文出處：com.google.guava:guava 組件安全漏洞及健康分析_墨知 (oscs1024.com)文章來源地址http://www.zghlxwxcb.cn/news/detail-691928.html

到了這里，關(guān)于com.google.guava:guava 組件安全漏洞及健康分析的文章就介紹完了。如果您還想了解更多內(nèi)容，請在右上角搜索TOY模板網(wǎng)以前的文章或繼續(xù)瀏覽下面的相關(guān)文章，希望大家以后多多支持TOY模板網(wǎng)！

本文來自互聯(lián)網(wǎng)用戶投稿，該文觀點僅代表作者本人，不代表本站立場。本站僅提供信息存儲空間服務(wù)，不擁有所有權(quán)，不承擔(dān)相關(guān)法律責(zé)任。如若轉(zhuǎn)載，請注明出處：如若內(nèi)容造成侵權(quán)/違法違規(guī)/事實不符，請點擊違法舉報進(jìn)行投訴反饋，一經(jīng)查實，立即刪除！

分享到：

領(lǐng)支付寶紅包贊助服務(wù)器費用

小迪安全47WEB 攻防-通用漏洞&Java 反序列化&EXP 生成&數(shù)據(jù)提取&組件安全
# 知識點： 1 、 Java 反序列化演示 - 原生 API 接口 2 、 Java 反序列化漏洞利用 -Ysoserial 使用 3 、 Java 反序列化漏洞發(fā)現(xiàn)利用點 - 函數(shù) 數(shù)據(jù) 4 、 Java 反序列化考點 - 真實 CTF 賽題 - 審計分析 # 內(nèi)容點： 1 、明白 -Java 反序列化原理 2 、判斷 -Java 反序列化漏洞 3 、學(xué)會 -Ysoserial 工具
2024年04月10日
瀏覽(58)
智能合約安全分析，Vyper 重入鎖漏洞全路徑分析
7 月 30 日 21:10 至 7 月 31 日 06:00 鏈上發(fā)生大規(guī)模攻擊事件，導(dǎo)致多個 Curve 池的資金損失。漏洞的根源都是由于特定版本的 Vyper 中出現(xiàn)的重入鎖故障。通過對鏈上交易數(shù)據(jù)初步分析，我們對其攻擊的交易進(jìn)行整理歸納，并對攻擊流程進(jìn)一步的分析，由于攻擊涉及多個交易池。
2024年02月09日
瀏覽(22)
【網(wǎng)絡(luò)安全】本地提權(quán)漏洞分析
CVE-2023-21752 是 2023 年開年微軟第一個有 exploit 的漏洞，原本以為有利用代碼會很好分析，但是結(jié)果花費了很長時間，難點主要了兩個：漏洞點定位和漏洞利用代碼分析，歡迎指正。根據(jù)官方信息，該漏洞是 Windows Backup Service 中的權(quán)限提升漏洞，經(jīng)過身份認(rèn)證的攻擊者可利用此
2024年02月01日
瀏覽(33)
【網(wǎng)絡(luò)安全】CVE漏洞分析以及復(fù)現(xiàn)
漏洞詳情 Shiro 在路徑控制的時候，未能對傳入的 url 編碼進(jìn)行 decode 解碼，導(dǎo)致攻擊者可以繞過過濾器，訪問被過濾的路徑。漏洞影響版本 Shiro 1.0.0-incubating 對應(yīng) Maven Repo 里面也有【一一幫助安全學(xué)習(xí)，所有資源獲取一一】 ①網(wǎng)絡(luò)安全學(xué)習(xí)路線 ②20份滲透測試電子書 ③安全
2024年02月06日
瀏覽(28)
本地提權(quán)漏洞分析【網(wǎng)絡(luò)安全】
CVE-2023-21752 是 2023 年開年微軟第一個有 exploit 的漏洞，原本以為有利用代碼會很好分析，但是結(jié)果花費了很長時間，難點主要了兩個：漏洞點定位和漏洞利用代碼分析，歡迎指正。根據(jù)官方信息，該漏洞是 Windows Backup Service 中的權(quán)限提升漏洞，經(jīng)過身份認(rèn)證的攻擊者可利用此
2024年02月04日
瀏覽(29)
Tcsec安全研究院|fastjson漏洞分析
fastjson 是一個 Java 庫，可用于將 Java 對象轉(zhuǎn)換為其 JSON 表示形式。它還可以用于將 JSON 字符串轉(zhuǎn)換為等效的 Java 對象。Fastjson 可以處理任意的 Java 對象，包括沒有源代碼的預(yù)先存在的對象。 java 的核心就是對象的操作，fastjson 同樣遵循這個原則利用get、set操作對象。將 User 對
2024年02月13日
瀏覽(30)
工控系統(tǒng)的全球安全現(xiàn)狀：全球漏洞實例分析
一、摘要 ? 運營技術(shù)(OT)、網(wǎng)絡(luò)和設(shè)備，即工業(yè)環(huán)境中使用的所有組件，在設(shè)計時并未考慮到安全性。效率和易用性是最重要的設(shè)計特征，然而，由于工業(yè)的數(shù)字化，越來越多的設(shè)備和工業(yè)網(wǎng)絡(luò)想公網(wǎng)開放。這有利于工業(yè)環(huán)境的管理和組織，但他也增加了共勉，為攻擊者提供
2024年02月05日
瀏覽(23)
Java安全之SnakeYaml漏洞分析與利用
SnakeYaml是Java中解析yaml的庫，而yaml是一種人類可讀的數(shù)據(jù)序列化語言，通常用于編寫配置文件等。 yaml基本語法：大小寫敏感使用縮進(jìn)表示層級關(guān)系縮進(jìn)只允許使用空格 # 表示注釋支持對象、數(shù)組、純量這3種數(shù)據(jù)結(jié)構(gòu) 示例 yaml對象： yaml數(shù)組：意思是 companies 屬性是一個數(shù)
2024年02月04日
瀏覽(21)
全面分析為什么漏洞評估和可靠的漏洞發(fā)現(xiàn)技術(shù)是健全安全態(tài)勢的關(guān)鍵
? ? ? ?在我們所接觸使用的應(yīng)用程序中有很多未解決的漏洞。而這些所有漏洞中有 90% 是可利用的，即使是技術(shù)知識或技能很少的攻擊者也是如此。在這種情況下，建立和維護(hù)良好的安全態(tài)勢變得非常重要。持續(xù)的漏洞評估過程是安全難題的重要組成部分。為什么正在進(jìn)行的
2024年04月12日
瀏覽(28)
網(wǎng)絡(luò)安全之反序列化漏洞分析
FastJson 是 alibaba 的一款開源 JSON 解析庫，可用于將 Java 對象轉(zhuǎn)換為其 JSON 表示形式，也可以用于將 JSON 字符串轉(zhuǎn)換為等效的 Java 對象分別通過 toJSONString 和 parseObject/parse 來實現(xiàn)序列化和反序列化。使用對于序列化的方法 toJSONString() 有多個重載形式。 SerializeFeature : 通過設(shè)置
2024年02月08日
瀏覽(22)