Loading…
Tilbage

Profilbillede

Vedr. OIOIDWS Java referenceimplementering

Jens Kristian Villadsen

Som nævnt i https://github.com/digst/OIOIDWS.Java/issues/38 - er der så gjort nogle tanker/prioriteringer om at få opdateret referenceimplementeringen? Det virker noget bagud - både på Java version og CXF version

Hej Jens,

Du vil da være sikker på at få svar ;)

Anyway, vi har tidligere kigget på at opgradere anvendte versioner, men det konflikter med OpenSAML og dens afhængigheder. Desuden kører eksemplerne på Java 8 og ikke 11 af hensyn til gamle integrationer.

Det ønske er noteret og vil blive prioriteret i samarbejde med DIGST.

Med venlig hilsen
Morten D. Bech

Kan hensynet til Java 8 ikke køre på sin egen branch sådan at det ikke bremser udviklingen helt? Hensynet kan jo fint leve i sin egen branch, mens resten af verden forsætter med at spinne. Særligt CXF burde få en ordentligt tur opad versionsstigen. Alene CXF v3.0.16 har følgende sårbarheder:

Vulnerabilities from dependencies:
CVE-2022-23437
CVE-2022-23305
CVE-2022-23302
CVE-2021-4104
CVE-2019-17571

-hvilket i sig selv er problematisk.

Hej Jens,

Det kunne sagtens leve på sin egen branch, men uanset så ændrer det jo ikke på problemstillingen med afhængigheder for de tjenester der måtte ønske at benytte STS'en baseret på en Bootstrap Token fra et log ind. Desuden øger en ny branch specifikt for Java 8 vedligeholdelsesopgaven.

Desuden vil jeg gerne igen pointere at der tale om eksempler og der ikke noget der forhindre jer I at benytte nyere version af CXF i jeres kodebase, hvis ikke I har afhængigheder til OIO SAML 2 reference implementeringen eller OpenSAML 2.6.

Dit input er som sagt noteret og ændringer vil nu følge den proces der aftalt med DIGST.

Med venlig hilsen
Morten D. Bech