在正式CPE搜索站点(https://nvd.nist.gov/products/cpe/search)中找不到在依赖项检查中使用的cpe。 例如,在项目中,使用依赖项“ bcprov-jdk15on-1.55.jar”,并将其标识为以下cpe:
cpe: cpe:/a:bouncycastle:bouncy-castle-crypto-package:1.55 Confidence:Low
maven: org.bouncycastle:bcprov-jdk15on:1.55 Confidence:Highest
cpe: cpe:/a:bouncycastle:bouncy_castle_crypto_package:1.55 Confidence:Low
但是,我在CPE命名格式2.2或2.3的官方站点中搜索,未找到带有“ bouncy_castle_crypto_package”的产品。在那里找到的Bouncycastle的所有产品都是“ Legend of the Bouncycastle-java-crytography-api”。我对依赖项检查所使用的cpes感到困惑。然后我不知道我应该在dependency-check-hint.xml中使用的确切产品名称是什么。
另一个问题是关于来自同一公司/组织的依赖罐,其中一些已被识别,但有些却未被识别。例如,依赖项“ bcpkix-jdk15on-1.55.jar”来自同一组织“ bcprov-jdk15on-1.55.jar”,但对于任何cpe都没有识别。为什么?