有dependency-check-maven插件,用于检查我的Java项目中的第三方依赖项是否已知漏洞 . 问题在于,由于CVE不包含库的唯一标识符,因此该插件具有大量误报(并且很可能是错误否定) . 例如,最近的Spring漏洞CVE-2018-1275包含标识符 cpe:2.3:a:pivotal_software:spring_framework:*:*:*:*:*:*:*:* versions from (including) 4.3.0 up to (excluding) 4.3.16 ,这很难映射到精确的Maven依赖项 . 有关详细信息,请参阅article .
CVE和Maven依赖关系之间是否存在一些可公开访问的映射,以便进行更可靠的检查?
1 回答
我知道还有其他2个选项 . 按字母顺序排列:
https://github.com/OSSIndex/ossindex-maven-plugin
https://github.com/snyk/snyk-maven-plugin