OWASP 的 dependency-check-maven 的可靠性如何?
What's the reliability of OWASP's dependency-check-maven?
我已经对我们在软件中使用的几个库进行了手动检查。
其中之一,spring-framework,目前的版本是 4.0.3,而最新版本是 4.3.2。
因此,我 search the National Vunerability Database 是为了找出这个旧版本是否易受攻击(或没有)。
这里似乎有 3 个已知漏洞:CVE-2015-3192, CVE-2014-3625, CVE-2014-3578
然后我用 OWASP 的 dependency-check-maven 构建了我的项目。
由于他们也在使用 NVD 数据库,我希望得到相同的结果。虽然,它最终没有返回任何漏洞。
因为我对安全问题仍然很不安(和新手!),尤其是 'false positive',我想知道这些是否可能是一些,因此被插件忽略......或者也许如果我的手动分析是错误的...但此外,我想分享有关此插件的经验:
- 你体验过吗?
- 我可以依靠它吗,比如我可以告诉我的客户他们可以
对 OWASP-A9 有信心?
- 有没有办法配置它,让你
可以完全自信吗?
提前感谢您的回答
抱歉延迟回复 - 我通常不会监视 SO 以了解有关依赖项检查的问题。请参阅我对依赖性检查邮件列表中类似问题的回答:https://groups.google.com/forum/#!topic/dependency-check/LjnemiZKeZQ
对于这种特定的假阴性,它与 NVD 无法决定 Spring 框架的供应商名称有关。 NVD 至少有 3.20 版的三个不同标识符:
- cpe:/a:pivotal:spring_framework:3.2.0(2 个漏洞)
- cpe:/a:pivotal_software:spring_framework:3.2.0(1 个漏洞)
- cpe:/a:springsource:spring_framework:3.2.0(5 个漏洞)
这个误报已经解决,补丁将包含在 1.4.4 版本中(应该会在一个月内发布)。如果您 运行 遇到其他误报或漏报 - 请将它们报告为 github repo 中的问题。
关于您关于可靠性的问题 - 我没有测试过 100% 可靠的工具。我将依赖性检查视为 Java 应用程序的最低标准。
--杰里米
我已经对我们在软件中使用的几个库进行了手动检查。 其中之一,spring-framework,目前的版本是 4.0.3,而最新版本是 4.3.2。 因此,我 search the National Vunerability Database 是为了找出这个旧版本是否易受攻击(或没有)。
这里似乎有 3 个已知漏洞:CVE-2015-3192, CVE-2014-3625, CVE-2014-3578
然后我用 OWASP 的 dependency-check-maven 构建了我的项目。 由于他们也在使用 NVD 数据库,我希望得到相同的结果。虽然,它最终没有返回任何漏洞。
因为我对安全问题仍然很不安(和新手!),尤其是 'false positive',我想知道这些是否可能是一些,因此被插件忽略......或者也许如果我的手动分析是错误的...但此外,我想分享有关此插件的经验:
- 你体验过吗?
- 我可以依靠它吗,比如我可以告诉我的客户他们可以 对 OWASP-A9 有信心?
- 有没有办法配置它,让你 可以完全自信吗?
提前感谢您的回答
抱歉延迟回复 - 我通常不会监视 SO 以了解有关依赖项检查的问题。请参阅我对依赖性检查邮件列表中类似问题的回答:https://groups.google.com/forum/#!topic/dependency-check/LjnemiZKeZQ
对于这种特定的假阴性,它与 NVD 无法决定 Spring 框架的供应商名称有关。 NVD 至少有 3.20 版的三个不同标识符:
- cpe:/a:pivotal:spring_framework:3.2.0(2 个漏洞)
- cpe:/a:pivotal_software:spring_framework:3.2.0(1 个漏洞)
- cpe:/a:springsource:spring_framework:3.2.0(5 个漏洞)
这个误报已经解决,补丁将包含在 1.4.4 版本中(应该会在一个月内发布)。如果您 运行 遇到其他误报或漏报 - 请将它们报告为 github repo 中的问题。
关于您关于可靠性的问题 - 我没有测试过 100% 可靠的工具。我将依赖性检查视为 Java 应用程序的最低标准。
--杰里米