有dependency-check-maven插件可以检查我的Java项目中的第三方依赖项是否存在已知漏洞。问题在于,由于CVE不包含该库的唯一标识符,因此该插件具有很多误报(很可能是误报)。例如,最近的Spring漏洞CVE-2018-1275包含标识符cpe:2.3:a:pivotal_software:spring_framework:*:*:*:*:*:*:*:* versions from (including) 4.3.0 up to (excluding) 4.3.16,很难映射到确切的Maven依赖项。有关更多详细信息,请参见此article。
CVE和Maven依赖项之间是否存在一些可公开访问的映射,从而可以进行更可靠的检查?
答案 0 :(得分:2)