我想解决项目中的每个CVE问题。我正在使用org.owasp.dependencycheck插件,但是即使在一个空项目中,它也会返回一些CVE:
bcprov-jdk15on-1.56.jar: ids:(org.bouncycastle:bcprov-jdk15on:1.56, cpe:/a:bouncycastle:legion-of-the-bouncy-castle-java-crytography-api:1.56) : CVE-2017-13098, CVE-2018-1000180, CVE-2018-1000613
builder-3.3.1.jar: desugar_deploy.jar: ids:(com.google.guava:guava:21.0, cpe:/a:google:guava:21.0) : CVE-2018-10237
intellij-core-26.3.1.jar (shaded: com.google.protobuf:protobuf-java:2.6.1): ids:(cpe:/a:google:protobuf:2.6.1, com.google.protobuf:protobuf-java:2.6.1) : CVE-2015-5237
intellij-core-26.3.1.jar (shaded: org.picocontainer:picocontainer:1.2): ids:(org.picocontainer:picocontainer:1.2, cpe:/a:site_documentation_project:site_documentation:1.2) : CVE-2015-4370
此结果来自空项目。我的build.gradle:
apply plugin: 'com.android.application'
apply plugin: 'kotlin-android'
apply plugin: 'kotlin-android-extensions'
apply plugin: 'org.owasp.dependencycheck'
android {
compileSdkVersion 28
defaultConfig {
applicationId "com.example.testcve"
minSdkVersion 21
targetSdkVersion 28
versionCode 1
versionName "1.0"
testInstrumentationRunner "android.support.test.runner.AndroidJUnitRunner"
}
buildTypes {
release {
minifyEnabled false
proguardFiles getDefaultProguardFile('proguard-android.txt'), 'proguard-rules.pro'
}
}
}
dependencyCheck {
failBuildOnCVSS 0
}
check.dependsOn dependencyCheckAnalyze
dependencies {
implementation fileTree(dir: 'libs', include: ['*.jar'])
implementation"org.jetbrains.kotlin:kotlin-stdlib-jdk7:$kotlin_version"
implementation 'com.android.support:appcompat-v7:28.0.0'
implementation 'com.android.support.constraint:constraint-layout:1.1.3'
testImplementation 'junit:junit:4.12'
androidTestImplementation 'com.android.support.test:runner:1.0.2'
androidTestImplementation 'com.android.support.test.espresso:espresso-core:3.0.2'
}
和:
buildscript {
ext.kotlin_version = '1.3.21'
repositories {
google()
jcenter()
mavenLocal()
}
dependencies {
classpath 'com.android.tools.build:gradle:3.3.1'
classpath "org.jetbrains.kotlin:kotlin-gradle-plugin:$kotlin_version"
classpath "org.owasp:dependency-check-gradle:4.0.0"
}
}
allprojects {
repositories {
google()
jcenter()
}
}
task clean(type: Delete) {
delete rootProject.buildDir
}
一切都是最新的。
有什么办法解决那些CVE吗?
答案 0 :(得分:4)
因此,Carsten的答案是绝对正确的,但没有说明如何在CI Builds中处理该问题。
您有两个选项都可以使用。您可以从依赖项检查中排除lintClassPath,也可以将releaseCompileClasspath定义为要检查的唯一模块配置。我建议使用第一个,因为如果您碰巧要添加其他模块配置(或者您还想检查调试/测试类路径),则可能要检查它们。
lintClassPath 每个模块(例如您的app/build.gradle):
// ... android and dependency configuration omitted
apply plugin: 'org.owasp.dependencycheck'
// ...
dependencyCheck {
skipConfigurations += 'lintClassPath'
}
对于所有模块(在根build.gradle中):
// ... buildscript, etc. omitted
allprojects {
// ... repository configuration omitted
apply plugin: 'org.owasp.dependencycheck'
dependencyCheck {
skipConfigurations += 'lintClassPath'
}
}
releaseCompilepath 用skipConfigurations += 'lintClassPath'简单替换scanConfigurations += 'releaseCompileClasspath'。仅供参考,这些选项是互斥的,因此您只需选择这些方法之一。
答案 1 :(得分:0)
这些文件由Android构建系统使用。这就是为什么即使在“空”项目上也要报告他们的原因。
检查依赖关系树以查看这些文件的使用位置:./gradlew app:dependencies
...
lintClassPath - The lint embedded classpath
\--- com.android.tools.lint:lint-gradle:26.4.1
+--- com.android.tools:sdk-common:26.4.1
| +--- com.android.tools:sdklib:26.4.1
| | +--- com.android.tools.layoutlib:layoutlib-api:26.4.1
| | ...
| +--- com.android.tools.ddms:ddmlib:26.4.1 (*)
| +--- org.bouncycastle:bcpkix-jdk15on:1.56
| | \--- org.bouncycastle:bcprov-jdk15on:1.56 <--
| +--- org.bouncycastle:bcprov-jdk15on:1.56 <--
...
在此示例中,它是com.android.tools:sdk-common。此构建库,供其他Android工具库(https://mvnrepository.com/artifact/com.android.tools/sdk-common/26.4.1)使用。只要Google不更新该依赖关系,您就无能为力了。
尽管已将报告的漏洞标记为严重,但此处与您的应用程序无关,因为该文件由构建工具而不是您的应用程序使用。
如果文件是在releaseCompileClasspath部分中报告的,则应将其修复!
如果要再次检查这些文件未编译到您的应用中,请使用Android Studio的Analyze APK功能。
答案 2 :(得分:0)
我通过将lintClassPath添加到依赖项来解决该问题
dependencies {
...
lintClassPath "org.bouncycastle:bcpkix-jdk15on:1.64"
}
已经晚了,但希望对您有帮助。