[英]CVE mapping to Java library
有一個dependency-check-maven插件可以檢查我的 Java 項目中的第 3 方依賴項是否存在已知漏洞。 問題是由於 CVE 不包含庫的唯一標識符,因此該插件有很多誤報(並且很可能是誤報)。 例如最近的 Spring 漏洞CVE-2018-1275包含標識符cpe:2.3:a:pivotal_software:spring_framework:*:*:*:*:*:*:*:* versions from (including) 4.3.0 up to (excluding) 4.3.16
很難讓 map 精確到 Maven 依賴。 有關更多詳細信息,請參閱本文。
CVE 和 Maven 依賴項之間是否存在一些可公開訪問的映射,可以進行更可靠的檢查?
現在還有另一種選擇,即開源漏洞 (osv)和支持該漏洞的數據集,包括許多漏洞,包括 Maven,並且完全匹配公開可用。 這消除了通過 cpe 進行轉換的需要,而是使用 Maven 格式直接鏈接到 maven package。
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.