EY-3454: Unngår bruk av kafka-avro-serializer-biblioteket der det ikkje trengs

[madsop-nav]

Dette biblioteket trekkjer med seg ein eldre versjon av snappy-java, som dukkar opp i fleng på https://console.nav.cloud.nais.io/team/etterlatte/vulnerabilities , og også ein confluent-spesifikk versjon av kafka-clients som eg ikkje har funne koden til.

Unngår dermed å bruke dette biblioteket der det ikkje trengs, trade-offen er eit par ekstra konstantar i kafka-repoet si Avrokonstanter-fil, og det tenkjer eg er vel verdt det.

[Watercolours]

Bytte ut strings med de statiske verdiene til AbstractKafkaSchemaSerDeConfig?

Og kanskje enda bedre, droppe filen Avrokonstanter og heller bruke det direkte, siden hele denne er en litt unødvendig abstraksjon av AbstractKafkaSchemaSerDeConfig 🤷‍♂️

[madsop-nav]

Dette er ei avveging, ja. Grunngjevinga var meint å komme fram i PR-tittel pluss første kommentaren over, og ein litt meir utførleg diskusjon hadde vi på #3258

[madsop-nav]

Tok ein gjennomgang av sårbarheiter som rapportert inn i Nais-konsollet:

• etterlatte-institusjonsopphold: alle innslag kjem pga kafka-avro-serializer
• etterlatte-klage: alle innslag kjem pga kafka-avro-serializer
• egne-ansatte-lytter: 7 av 9 innslag kjem pga denne
• hendelser-joark: 7 av 9 kjem pga denne
• hendelser-pdl: 7 av 9 kjem pga denne
• hendelser-samordning: 7 av 9 kjem pga denne
• utbetaling: 0 av 6

Dette er dei einaste appane i dette repoet kor det er sårbarheiter.

Appane i felles:

• 13 av 13 i notifikasjoner
• 0 av 11 i pdfgen (prøver å rette opp feilane der i Byttar til ein oppdatert fork av openHtmlToPdf-biblioteket.  pdfgen#176 )
• 0 av 11 i proxy (her ser det ut som vi bør oppgradere cxf, når 4.0.4 kjem, ref Bump cxf-version from 4.0.2 to 4.0.3 pensjon-etterlatte-felles#163 (comment))
• 0 av 8 i kafka-manager (her er det logback, spring og commons-compress. Har ikkje sett nok på https://github.com/navikt/kafka-manager til å få bort desse)