com.jcraft:jsch 组件安全漏洞及健康度分析

文章更新时间:2023-09-19 19:00

com.jcraft:jsch

组件简介

维护者sourceforge 组织许可证类型BSD-3-Clause
首次发布2005 年 11 月 8 日最新发布时间2018 年 11 月 26 日
依赖包1,266依赖存储库17,304

JSch 是SSH2的一个纯Java实现。它允许你连接到一个sshd 服务器,使用端口转发,X11转发,文件传输等等。

官网:http://www.jcraft.com/jsch/

参考链接:

https://packages.ecosyste.ms/registries/repo1.maven.org/packages/com.jcraft:jsch

https://mvnrepository.com/artifact/com.jcraft/jsch

组件健康度

技术健康度com.jcraft:jsch 是一个纯 Java 实现的 SSH2 协议的库,支持多种密钥交换、加密、认证和转发功能。它可以让您连接到 sshd 服务器,并使用端口转发、X11 转发、文件传输等功能。它还可以将其功能集成到您自己的 Java 程序中。它使用 BSD 风格的许可证,因此可以自由地修改和分发。它的技术健康度较高,因为它实现了 SSH2 协议的主要特性,并且有多个示例代码和文档来说明如何使用它。
社区健康度com.jcraft:jsch 的原始开发者是 JCraft 公司,该公司主要提供 Java 和 SSH 相关的产品和服务。它的最新版本是 0.1.55,发布于 2017 年 10 月。它在 GitHub 上有一个镜像仓库,但是没有任何活跃的贡献者或维护者。它在 Maven Central 上有超过 1000 个依赖项,表明它被广泛地使用和引用。它的社区健康度较低,因为它缺乏活跃的开发和更新,也没有明显的社区支持或反馈渠道。
更新和维护频率com.jcraft:jsch 的最新版本是 0.1.55,发布于 2018 年 11 月 26 日。这意味着它已经有近六年没有更新了。根据其 GitHub 镜像仓库的提交历史,它的最后一次提交是在 2018 年 4 月。这表明它的更新和维护频率非常低,可能已经停止了开发。
兼容性com.jcraft:jsch 是一个纯 Java 的库,因此可以在任何支持 Java 的平台上运行。它依赖于 JavaTM Cryptography Extension (JCE),但是可以与不同版本的 JCE 实现兼容。它支持 SSH2 协议,但是不支持 SSH1 协议。它还支持 OpenSSH 的配置文件和私钥格式。它的兼容性较高,因为它可以适应不同的环境和需求。
文档和支持com.jcraft:jsch 的主要文档来源是其官方网站,其中包含了基本的介绍、特性、下载、许可证等信息。它还提供了多个示例代码,展示了如何使用其不同的功能。然而,它没有提供详细的 API 文档或教程,也没有明确的问题反馈或解决机制。它的文档和支持较差,因为它缺乏足够的指导和帮助。

com.jcraft:jsch 是一个技术上成熟但社区上衰落的组件,具有较高的技术健康度和兼容性,但较低的社区健康度、更新和维护频率,以及较差的文档和支持。如果您想使用它,您可能需要自己解决一些潜在的问题和风险,或者寻找一些更活跃和现代的替代品。

参考链接:

http://www.jcraft.com/jsch/examples/

https://github.com/mwiede/jsch

http://www.jcraft.com/jsch/

http://www.jcraft.com/jsch/examples/

https://www.oracle.com/java/technologies/

https://www.bouncycastle.org/

组件许可证解读

BSD-3-Clause许可证是一种自由和开放源代码软件许可证,通常用于授权软件的发布和分发。它是3条款的BSD许可证中的一种,也称为”New BSD License”或”Modified BSD License”。下面是对BSD-3-Clause许可证的解读:

  1. 使用权:BSD-3-Clause许可证允许您自由使用被许可软件的源代码或二进制形式,以及在您的项目中将其集成或链接。
  2. 修改权:您可以修改被许可软件的源代码,然后将修改后的版本用于您的项目,而无需在修改后的代码上强加与原始许可证相同的许可证。这意味着您可以根据自己的需求进行自定义修改。
  3. 分发权:您可以在自己的项目中将被许可软件的原始或修改后的版本分发给他人,无论是以源代码形式还是编译后的二进制形式。这是开源许可证的核心之一,鼓励共享和协作。
  4. 版权声明:BSD-3-Clause许可证要求您在分发时包含原始软件的版权声明、许可证文本和免责声明。这通常包括在您的源代码或文档中添加相应的注释或文本。
  5. 无保证:许可证明确声明,被许可软件是”按原样”提供的,没有任何明示或暗示的保证。这意味着作者不承担因使用或分发软件而产生的任何风险或责任。
  6. 出处提醒:虽然BSD-3-Clause许可证允许您自由使用和分发被许可软件,但它要求您在广告材料和文档中提及软件的出处,以尊重原始作者的工作。

总之,BSD-3-Clause许可证是一种非常灵活的许可证,鼓励开发者自由使用和分发软件,同时保留了原作者的版权和责任限制。这使得它成为许多开源项目的首选许可证之一,尤其是那些希望在其项目中允许修改和商业使用的开发者。然而,根据具体的项目和需求,您仍然应该详细阅读并理解所使用的许可证的具体条款,以确保合规性。

许可证原文链接:http://www.jcraft.com/jsch/LICENSE.txt

组件漏洞版本及修复方案

漏洞编号漏洞标题漏洞等级影响版本修复版本
MPS-2017-0498JCraft JSch 路径遍历漏洞中危[0.1.29,0.1.54)0.1.54

同类型可替代组件

  • Apache SSHD:这是一个基于 Apache MINA 的 SSH 服务器和客户端的实现,支持 SSH2 协议的所有特性,包括文件传输、端口转发、X11 转发等。它使用 Apache License 2.0,因此可以自由地使用和修改。它的文档和示例比较完善,也有一个活跃的开发社区和邮件列表来提供支持和反馈。它的最新版本是 2.7.0,发布于 2021 年 9 月。官网:https://mina.apache.org/sshd-project/
  • SSHJ:这是一个纯 Java 的 SSHv2 库,支持多种密钥交换、加密、认证和压缩算法,以及文件传输、端口转发、X11 转发等功能。它使用 MIT License,因此可以自由地使用和修改。它的文档和示例比较清晰和丰富,也有一个[开源仓库]来接收问题和贡献。它的最新版本是 0.31.0,发布于 2021 年 8 月。官网:https://github.com/hierynomus/sshj
(1)
上一篇 2023年9月19日 下午6:41
下一篇 2023年9月20日 下午3:14

相关推荐

  • 警惕 Hugging Face 开源组件风险被利用于大模型供应链攻击

    导语 近日,腾讯朱雀实验室发现著名AI社区Hugging Face开源组件datasets存在不安全特性,可引发供应链后门投毒攻击风险。AI开发者使用该组件加载攻击者构造的包含恶意代码的数据集时,会导致PC/服务器被入侵,同时在大模型预训练、微调等场景中,最终还可能导致大模型参数被窃取或篡改。 朱雀在此建议大家及时排查,同时也将持续进行大模型基础设施安全研究…

    2023年11月3日
    0
  • com.fasterxml.woodstox:woodstox-core 组件安全漏洞及健康度分析

    文章更新时间:2023-09-25 16:20 组件简介 维护者 FasterXML 组织 许可证类型 Apache-2.0 首次发布 2015 年 2 月 24 日 最新发布时间 2023 年 4 月 19 日 GitHub Star 192 GitHub Fork 73 依赖包 491 依赖存储库 1,896 Woodstox是一个快速、开源的StAX实…

    2023年9月25日
    0
  • com.alibaba:fastjson 组件安全漏洞及健康度分析

    文章更新时间:2023年8月22日 17:40 组件简介 维护者 alibaba组织 许可证类型 Apache-2.0 首次发布 2015年5月10日 最新发布时间 2023年8月15日 依赖包 5,081 依赖存储库 117,744 Docker 依赖数 1,494 Docker 下载量 9,591,272 fastjson是阿里巴巴的开源JSON解析库,…

    2023年8月24日
    0
  • com.google.guava:guava 组件安全漏洞及健康分析

    文章更新时间:2023-08-28 18:00 组件简介 维护者 google组织 许可证类型 Apache-2.0 首次发布 2010 年 4 月 26 日 最新发布时间 2023 年 8 月 1 日 GitHub Star 48189 GitHub Fork 10716 依赖包 28,694 依赖存储库 219,576 Guava 是 Google 的一…

    2023年8月28日
    0
  • com.ibm.icu:icu4j 组件安全漏洞及健康度分析

    文章更新时间:2023-09-28 11:20 组件简介 维护者 unicode-org 组织 许可证类型 Unicode-TOU,ICU 首次发布 2006 年 2 月 21 日 最新发布时间 2023 年 6 月 13 日 GitHub Star 2136 GitHub Fork 692 依赖包 699 依赖存储库 6,271 com.ibm.icu:i…

    2023年9月28日
    0