我已经对我们在软件中使用的一些库进行了手动检查。 其中一个是spring-framework,目前的版本是4.0.3,而最新的版本是4.3.2。 因此,我search National Vunerability Database以查找此旧版本是否易受攻击(<或p>)。
此处有3个已知漏洞:CVE-2015-3192, CVE-2014-3625, CVE-2014-3578
然后我使用OWASP的依赖检查maven构建了我的项目。 由于他们也使用NVD数据库,我希望得到相同的结果。虽然,它最终没有返回任何漏洞。
由于我仍然非常不安(和新手!)有安全问题,特别是“误报”,我想知道这些是否可能是某些,因此被插件忽略......或者也许如果我在手动分析中错了...但是,我想分享关于这个插件的经验:
提前感谢您的回答
答案 0 :(得分:2)
对于延迟回复感到抱歉 - 我通常不会监控SO有关依赖性检查的问题。请参阅我对依赖项检查邮件列表中类似问题的回答:https://groups.google.com/forum/#!topic/dependency-check/LjnemiZKeZQ
由于这个特定的漏报,它与NVD无法确定Spring Framework的供应商名称有什么关系。对于版本3.20,NVD至少有三个不同的标识符:
此假阴性已得到解决,补丁将包含在1.4.4版本中(应在一个月内发布)。如果您遇到其他误报或误报 - 请在github repo中将其报告为问题。
关于可靠性的问题 - 我没有测试过100%可靠的工具。我将依赖项检查视为Java应用程序的最小栏。
- 杰里米