主要观点：

• Parquet 文件成为大数据生态系统中列式数据存储的事实标准，被多种数据处理框架使用，如 Apache Spark 和 Hadoop，众多大型公司也依赖它进行大规模数据处理。
• 开源 Java 库虽重要但常引入安全漏洞，如 Deep Java Library 和 Jackson Library 的相关漏洞案例，强调开源库需有良好的依赖管理、更新和安全审计。
• Apache Parquet 的 parquet-avro 模块存在严重漏洞（CVE-2025-30065），攻击者可通过恶意 Parquet 文件在文件解析时执行任意代码，对系统造成多种危害。

关键信息：

• Parquet 被广泛应用于大数据处理，多家公司依赖它。
• 开源库存在安全漏洞，如特定版本的 Deep Java Library 和 Jackson Library 。
• Apache Parquet 的 parquet-avro 模块漏洞可致任意代码执行，攻击场景包括创建恶意文件、交付、利用和造成影响。
• 提出了包括依赖审计、验证文件源、审计监控日志、限制访问权限和确保文件源安全等缓解措施。

重要细节：

• Deep Java Library 的路径遍历漏洞影响 0.1.0 至 0.31.0 版本，0.31.1 有补丁。
• Apache Parquet 的 parquet-avro 模块漏洞 CVSS 评分为 10.0（“Critical”），攻击者可插入恶意代码。
• 缓解措施包括使用工具检查依赖、验证文件源、审计监控日志、限制访问权限和确保文件源安全等，如升级 Parquet 版本、进行魔法数检查和模式验证、启用日志记录、实施角色访问控制和网络分段等。
  结论：处理关键数据的组织应重视数据管道安全，遵循行业标准和实施安全措施以抵御威胁。