首页 文章

CVE映射到Java库

提问于
浏览 1029
1

dependency-check-maven插件,用于检查我的Java项目中的第三方依赖项是否已知漏洞 . 问题在于,由于CVE不包含库的唯一标识符,因此该插件具有大量误报(并且很可能是错误否定) . 例如,最近的Spring漏洞CVE-2018-1275包含标识符 cpe:2.3:a:pivotal_software:spring_framework:*:*:*:*:*:*:*:* versions from (including) 4.3.0 up to (excluding) 4.3.16 ,这很难映射到精确的Maven依赖项 . 有关详细信息,请参阅article .

CVE和Maven依赖关系之间是否存在一些可公开访问的映射,以便进行更可靠的检查?

1 回答

相关问题