繁体 English 中英

CVE 映射到 Java 库

[英]CVE mapping to Java library

原文 2018-07-15 09:01:47 9 2 java/ maven/ security/ owasp

有一个dependency-check-maven插件可以检查我的 Java 项目中的第 3 方依赖项是否存在已知漏洞。 问题是由于 CVE 不包含库的唯一标识符，因此该插件有很多误报（并且很可能是误报）。 例如最近的 Spring 漏洞CVE-2018-1275包含标识符cpe:2.3:a:pivotal_software:spring_framework:*:*:*:*:*:*:*:* versions from (including) 4.3.0 up to (excluding) 4.3.16很难让 map 精确到 Maven 依赖。 有关更多详细信息，请参阅本文。

CVE 和 Maven 依赖项之间是否存在一些可公开访问的映射，可以进行更可靠的检查？

2 个解决方案

我知道另外2个选项。 按字母顺序：

现在还有另一种选择，即开源漏洞 (osv)和支持该漏洞的数据集，包括许多漏洞，包括 Maven，并且完全匹配公开可用。 这消除了通过 cpe 进行转换的需要，而是使用 Maven 格式直接链接到 maven package。

将 JNA Java 映射到本机 C 共享库

[英]Mapping JNA Java to Native C Shared Library

JAVA formatMsgNoLookups 选项 (CVE-2021-44228)

[英]JAVA formatMsgNoLookups option (CVE-2021-44228)

如何在Java jar文件中检查CVE

[英]How to check for CVE s in java jar file

使用第三方库在Java中映射两个相同的类

[英]Mapping two identical classes in java with third party library

Jackson库：JSON元素中Java对象的自定义映射

[英]Jackson library: custom mapping of a Java object in a JSON element

Java bean映射库-选择哪个（将一个对象转换为另一个对象）？

[英]Java bean mapping library - which to choose (transforming one object to another)?

为 java 应用程序生成库依赖关系映射图的工具？

[英]Tools to generate library dependencies mapping graphs for java application?

带有 java.util.logger 的日志是否受 CVE-2021-44228 影响？

[英]Logs with java.util.logger are affected by CVE-2021-44228?

IBM java 获取默认值（以缓解 CVE-2021-44228

[英]IBM java get defaults (to mitigate CVE-2021-44228

[英]Mapping in java

暂无

暂无

声明:本站的技术帖子网页，遵循CC BY-SA 4.0协议，如果您需要转载，请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.

相关问题 将 JNA Java 映射到本机 C 共享库 JAVA formatMsgNoLookups 选项 (CVE-2021-44228) 如何在Java jar文件中检查CVE 使用第三方库在Java中映射两个相同的类 Jackson库：JSON元素中Java对象的自定义映射 Java bean映射库-选择哪个（将一个对象转换为另一个对象）？为 java 应用程序生成库依赖关系映射图的工具？带有 java.util.logger 的日志是否受 CVE-2021-44228 影响？ IBM java 获取默认值（以缓解 CVE-2021-44228 用Java映射

相关标签

粤ICP备18138465号 © 2020-2024 STACKOOM.COM