文章更新时间:2023-09-26 11:40
组件简介
| 维护者 | Google 组织 | 许可证类型 | Apache-2.0 |
| 首次发布 | 2008 年 8 月 10 日 | 最新发布时间 | 2023 年 1 月 6 日 |
| GitHub Star | 22450 | GitHub Fork | 4296 |
| 依赖包 | 13,282 | 依赖存储库 | 291,545 |
Gson(又称Google Gson)是Google公司发布的一个开放源代码的Java库,主要用途为序列化Java对象为JSON字符串,或反序列化JSON字符串成Java对象。
官网:https://google.github.io/gson/
官方仓库:https://github.com/google/gson
参考链接:
https://mvnrepository.com/artifact/com.google.code.gson/gson
https://packages.ecosyste.ms/registries/repo1.maven.org/packages/com.google.code.gson:gson
组件健康度
| 技术健康度 | 这个组件是一个用于将Java对象和JSON数据相互转换的库,它提供了简单的toJson ()和fromJson ()方法,支持任意的Java对象,包括没有源代码的预先存在的对象。它还支持Java泛型,自定义对象表示,复杂对象的转换等功能。它的技术健康度很高,因为它实现了JSON和Java之间的无缝映射,解决了许多其他库无法解决的问题。 |
| 社区健康度 | 这个组件是由Google开发和维护的,它在GitHub上有超过1.8万个星标,288个问题,96个拉取请求(1)。它也有一个专门的StackOverflow标签和一个Google小组,供用户讨论和提问。它的社区健康度很高,因为它有很多用户和贡献者,以及活跃的交流和反馈渠道。 |
| 更新和维护频率 | 这个组件目前处于维护模式,已有的bug会被修复,但不太可能添加大的新功能。如果用户想要添加新功能,需要先在GitHub上搜索或创建一个新的问题来讨论和获取反馈。它最新的版本是2.11.0,发布于2023年4月14日。它最近的更新是在2023年9月25日。它的更新和维护频率较低,因为它已经实现了主要的功能,不需要频繁地改变或增加。 |
| 兼容性 | 这个组件支持Java 6及以上版本,并提供了一个JPMS模块描述符(模块名为com.google.gson)供Java 9或更高版本使用。它还支持Android API级别19及以上版本。它有一些可选的JPMS依赖项,例如java.sql和jdk.unsupported,用于提供一些额外的功能。它的兼容性很好,因为它可以在多种Java环境中运行,并且可以根据用户的需求选择使用不同的依赖项。 |
| 文档和支持 | 这个组件有一个完善的文档网站,包括API文档,用户指南,故障排除指南,设计文档等。它还有一个发布流程文档,指导开发者如何发布新版本。它还提供了一些示例代码,展示了如何在不同场景中使用这个组件。它的文档和支持很好,因为它涵盖了使用这个组件所需的各种信息,并且有清晰和详细的说明。 |
com.google.code.gson:gson 这个组件是一个优秀的JSON转换库,它具有高度的技术健康度和社区健康度,以及良好的兼容性和文档支持。它目前处于维护模式,不太可能添加大的新功能,但仍然会修复已有的bug。如果您需要一个简单而强大的JSON转换工具,这个组件是一个不错的选择。
参考链接:
https://github.com/google/gson
https://google.github.io/gson/
https://blog.csdn.net/xinbadar/article/details/112548616
https://qiita.com/naoi/items/6b184700b2a41fb46356
组件许可证解读
Apache License 2.0 是一种开源软件许可证,广泛用于授权开源项目和代码。Apache License 2.0 允许用户自由地使用、修改和分发受许可的软件,而无需支付版权费用或专利费用。它鼓励开发者共享他们的代码,并保护用户的权利。以下是该许可证的一些重要特点:
- 代码使用权:用户可以自由地使用、复制、修改、合并、发布、分发和销售受许可软件。
- 版权声明:用户必须在所有源代码副本中保留原始的版权声明、许可证声明和免责声明。
- 修改代码:如果用户对代码进行了修改,需要清楚标明哪些部分发生了变化,并不能暗示原作者同意这些修改。
- 商标使用:Apache License 2.0 并未授予使用原软件的任何商标或名称的权利。
- 专利许可:该许可证授予了在使用、修改或分发受许可软件时相关专利的非独占许可。这意味着如果用户授权其他人使用该软件,相关专利许可也会传递给接收方。
- 再许可:用户可以将受 Apache License 2.0 许可的代码作为一部分整合到其它开源项目中,并使用不同的许可证授权整个项目。但是,需要在代码中显式地说明使用了 Apache License 2.0 许可的部分。
需要注意的是,Apache License 2.0 并不保证软件没有缺陷或不稳定性,使用该软件的风险由用户自行承担。
许可证原文链接:https://github.com/google/gson/blob/main/LICENSE
组件漏洞版本及修复方案
| 漏洞编号 | 漏洞标题 | 漏洞等级 | 影响版本 | 修复版本 |
| MPS-2022-12287 | com.google.code.gson:gson 存在BigDecimal拒绝服务漏洞 | 高危 | [2.2.3,2.8.9) | 2.8.9 |
同类型可替代组件
- Fastjson:这是一个由阿里巴巴开发的高性能的JSON处理器,它可以将Java对象和JSON数据相互转换,支持任意复杂对象和泛型类型。它的优点是速度快,占用内存少,但是可能会出现一些转换错误或安全漏洞。官网:https://github.com/alibaba/fastjson/wiki
- Jackson:这是一个流行的JSON解析器,它提供了多种方式来处理JSON数据,包括流式API,对象绑定API和树模型API。它的优点是功能强大,灵活性高,社区活跃,但是可能会有一些性能损耗或兼容性问题。官网:https://github.com/FasterXML/jackson
- Json-simple:这是一个轻量级的JSON处理器,它只提供了基本的JSON对象和数组的封装,以及简单的编码和解码方法。它的优点是体积小,无依赖,但是功能有限,不支持泛型或自定义类型。官网:https://code.google.com/archive/p/json-simple/
组件SBOM
| 组件名称 | 版本 | 是否直接依赖 | 仓库 |
| com.google.protobuf:protobuf-java | 4.0.0-rc-2 | 是 | maven |
| org.ow2.asm:asm-util | 7.2 | 否 | maven |
| org.ow2.asm:asm | 7.2 | 否 | maven |
| com.google.caliper:caliper | 1.0-beta-3 | 是 | maven |
| org.ow2.asm:asm-tree | 7.2 | 否 | maven |
| com.squareup.okio:okio | 1.6.0 | 否 | maven |
| com.google.dagger:dagger-producers | 2.22.1 | 否 | maven |
| com.google.caliper:caliper-util | 1.0-beta-3 | 否 | maven |
| com.google.guava:guava | 32.1.2-jre | 是 | maven |
该SBOM清单仅展示部分内容
完整SBOM清单及检测报告:
https://www.murphysec.com/console/report/1706502461049143296/1706502464006127616?allow=1