我的 CI 構建在 OWASP 依賴項檢查中失敗。例如
[HIGH] CVE-2021-37136 - io.netty:netty-codec-4.1.66.Final
我知道我可以添加一個抑制owaspDependencyCheckSuppressions.xml來解決這個問題。
這是我以前從未做過的事情,但這里有一個指南 - https://jeremylong.github.io/DependencyCheck/general/suppression.html 上面 寫著......
“使用 HTML 報告抑制這些誤報相當容易。在每個識別出的 CPE(以及 CVE 條目)旁邊的報告中,有一個抑制按鈕。單擊抑制按鈕將創建一個對話框,您可以簡單地點擊 Control-C復制您將放置到抑制 XML 檔案中的 XML”
我有2個問題
#1 你知道我在哪里可以找到這份 HTML 報告嗎?我認為它可能與 CI 相關聯(我正在使用 Circle CI),但我在那里找不到它:(
#2 指南中給出了一個示例抑制
<?xml version="1.0" encoding="UTF-8"?>
<suppressions xmlns="https://jeremylong.github.io/DependencyCheck/dependency-suppression.1.3.xsd">
<suppress>
<notes><![CDATA[
file name: some.jar
]]></notes>
<sha1>66734244CE86857018B023A8C56AE0635C56B6A1</sha1>
<cpe>cpe:/a:apache:struts:2.0.0</cpe>
</suppress>
</suppressions>
導游接著說
“上述 XML 檔案將從具有匹配 SHA1 哈希的任何檔案中抑制 cpe:/a:apache:struts:2.0.0。”
“任何檔案”是什么意思?這是否意味著任何使用依賴項的 Java 類?
謝謝 :)
uj5u.com熱心網友回復:
#1 在 CI 中的 OWASP 依賴項檢查任務上單擊“工件”選項卡,html 報告就在那里。
#2 在此背景關系中的“檔案”表示 jar 中的檔案,該檔案保證了依賴性問題。它將在 html 報告中提供給您。
轉載請註明出處,本文鏈接:https://www.uj5u.com/shujuku/313717.html