文章更新时间:2023-09-25 16:20
组件简介
| 维护者 | FasterXML 组织 | 许可证类型 | Apache-2.0 |
| 首次发布 | 2015 年 2 月 24 日 | 最新发布时间 | 2023 年 4 月 19 日 |
| GitHub Star | 192 | GitHub Fork | 73 |
| 依赖包 | 491 | 依赖存储库 | 1,896 |
Woodstox是一个快速、开源的StAX实现;被视为执行效果最佳的StAX实现之一。
官方仓库:https://github.com/FasterXML/woodstox
参考链接:
https://mvnrepository.com/artifact/com.fasterxml.woodstox/woodstox-core
组件健康度
| 技术健康度 | 该组件是一个实现了 Stax XML API 的高性能 XML 处理库,也支持 SAX API。它具有良好的性能、功能和稳定性,可以满足大多数 XML 处理的需求。它也提供了一些扩展功能,如 XML Schema 或 RelaxNG 验证。 |
| 社区健康度 | 该组件是由 FasterXML 组织开发和维护的,该组织也负责开发了其他流行的 Java 库,如 Jackson 和 Aalto。该组件在 GitHub 上有 331 个提交,31 个标签,4 个分支,以及 59 个问题和 161 个拉取请求。它的最新版本是 6.5.1,于 2023 年 4 月 18 日发布。它在 Maven Central Repository 上有超过 1000 万次的下载量。这些数据表明该组件有一个活跃和健康的社区,以及广泛的用户群。 |
| 更新和维护频率 | 该组件的更新和维护频率较高,从其发布历史可以看出,它每年都会发布至少一个新版本。它也及时地修复了一些安全漏洞,如 XML 外部实体 (XXE) 注入。它的最新版本是在今年 4 月发布的,距今不到半年。 |
| 兼容性 | 该组件遵循了标准的 Stax 和 SAX API,因此可以与大多数使用这些 API 的 Java 框架兼容。它也支持了 Stax2 API,这是一个由 Woodstox 和一些其他 Stax 实现提供的扩展 API。它需要 Java 6 或更高版本,以及 Stax API(包含在 JDK 中)和 Stax2 API(需要额外引入)。需要注意的是,该组件的 Maven id 在 Woodstox 4.x 之后发生了变化,但其 API 仍然保持兼容。 |
| 文档和支持 | 该组件在 GitHub 上提供了一个简洁的 README 文件,介绍了其概述、状态、获取方式、要求、许可证等信息。它也提供了一些博客文章来介绍其配置属性、使用示例等。它还提供了最新版本的 Javadoc 文档。如果用户遇到问题或需要帮助,他们可以在 GitHub 上提交问题或拉取请求。 |
com.fasterxml.woodstox:woodstox-core 是一个健康度较高的组件,它具有优秀的技术质量、活跃的社区、频繁的更新和维护、良好的兼容性、以及足够的文档和支持。如果你需要一个高性能、功能丰富、稳定可靠的 XML 处理库,你可以考虑使用它。
参考链接:
https://github.com/FasterXML/woodstox
https://central.sonatype.com/artifact/com.fasterxml.woodstox/woodstox-core?smo=true
https://security.snyk.io/vuln/SNYK-JAVA-COMFASTERXMLWOODSTOX-2928754
组件许可证解读
Apache License 2.0 是一种开源软件许可证,广泛用于授权开源项目和代码。Apache License 2.0 允许用户自由地使用、修改和分发受许可的软件,而无需支付版权费用或专利费用。它鼓励开发者共享他们的代码,并保护用户的权利。以下是该许可证的一些重要特点:
- 代码使用权:用户可以自由地使用、复制、修改、合并、发布、分发和销售受许可软件。
- 版权声明:用户必须在所有源代码副本中保留原始的版权声明、许可证声明和免责声明。
- 修改代码:如果用户对代码进行了修改,需要清楚标明哪些部分发生了变化,并不能暗示原作者同意这些修改。
- 商标使用:Apache License 2.0 并未授予使用原软件的任何商标或名称的权利。
- 专利许可:该许可证授予了在使用、修改或分发受许可软件时相关专利的非独占许可。这意味着如果用户授权其他人使用该软件,相关专利许可也会传递给接收方。
- 再许可:用户可以将受 Apache License 2.0 许可的代码作为一部分整合到其它开源项目中,并使用不同的许可证授权整个项目。但是,需要在代码中显式地说明使用了 Apache License 2.0 许可的部分。
需要注意的是,Apache License 2.0 并不保证软件没有缺陷或不稳定性,使用该软件的风险由用户自行承担。
许可证原文链接:https://github.com/FasterXML/woodstox/blob/master/LICENSE
组件漏洞版本及修复方案
| 漏洞编号 | 漏洞标题 | 漏洞等级 | 影响版本 | 修复版本 |
| MPS-2022-54303 | woodstox-core<5.3.0 存在XXE漏洞 | 中危 | [5.0.0,5.3.0) | 5.3.0 |
同类型可替代组件
- SJSXP:这是 Sun Java Streaming XML Parser 的缩写,它是 JDK 1.6 和 1.7 中默认捆绑的 Stax 实现。它是由 Oracle 公司开发和维护的,但没有开源。它的最新版本是 1.0.2,于 2009 年 8 月 28 日发布。它在 Maven Central Repository 上有超过 1000 万次的下载量。官网:https://docs.oracle.com/cd/E17802_01/webservices/webservices/docs/1.5/sjsxp/ReleaseNotes.html
- Apache Axiom:这是一个提供了一个基于 Stax 的 XML 对象模型 (OM) 的组件,它可以实现延迟解析和序列化 XML 文档的功能。它是由 Apache 组织开发和维护的,也是 Apache Axis2 Web Services Framework 的核心组件之一。它在 GitHub 上有 1.4k 个提交,17 个标签,3 个分支,以及 22 个问题和 10 个拉取请求。它的最新版本是 1.3.0,于 2020 年 12 月 31 日发布 。它在 Maven Central Repository 上有超过 1000 万次的下载量。官网:https://ws.apache.org/axiom/
组件SBOM
| 组件名称 | 版本 | 是否直接依赖 | 仓库 |
| relaxngDatatype:relaxngDatatype | 20020414 | 是 | maven |
| net.java.dev.msv:xsdlib | 2013.6.1 | 是 | maven |
| com.sun.xml.bind.jaxb:isorelax | 20090621 | 否 | maven |
| org.codehaus.woodstox:stax2-api | 4.2.1 | 是 | maven |
| net.java.dev.msv:msv-core | 2013.6.1 | 是 | maven |
该SBOM清单仅展示部分内容
完整SBOM清单及检测报告:
https://www.murphysec.com/console/report/1706222984560951296/1706222985534029824?allow=1