哪些 OpenJDK11 组件依赖于 Alpine Linux 上的 MuJS?
Which OpenJDK11 components are dependent on MuJS on Alpine Linux?
MuJS 是一个 Javascript 解释器,它不存在于 Alpine linux 的软件包列表中(截至目前最新版本 3.14)。然而,当一个人在 Alpine 上安装一个 OpenJDK11 package 时,如下所示,它似乎确实被安全扫描工具发现了:
apk add openjdk11-jre
在哪里可以找到随 OpenJDK11 安装捆绑/安装的所有 Linux 组件的列表?
Where can I find the list of all Linux components that get bundled/ installed along with the installation of OpenJDK11?
随openjdk11-jre一起安装的依赖包列表可以参考package page。您也可以在使用 apk.
安装软件包时看到它们
要获取已安装 java 模块的列表,运行:java --list-modules。
要获取与此包及其依赖包一起安装的文件的完整列表,您可以转储容器的所有文件列表:
sudo docker export <container-id> | tar tfv - > out.txt
然后,对原版 Alpine 3.14 图像执行相同操作,并比较输出。你可以看到差异 here.
However, when one installs an OpenJDK11 package on Alpine, as shown below, it does seem to get picked up by security scanning tools.
根据现有证据,这很可能是误报:
- 正如您所注意到的,没有列出任何 MuJS 依赖项,Alpine 存储库中也没有可用的 MuJS 包 (package name search, content search)
- None 个 MuJS 文件可以在容器中找到:
mujs 可执行文件、libmujs.a、libmujs.so 或任何 source files
- 理论上,如果是 OpenJDK 发行版的一部分,MuJS 可以静态链接到其中一个库和可执行文件中。所以为了以防万一,我在 OpenJDK 11 github 镜像中搜索了
mujs,它给出了 0 results
- 之前在 OpenJDK 邮件列表上发布过类似问题,但未得到答复:
https://mail.openjdk.java.net/pipermail/discuss/2019-June/005069.html
我的建议是联系安全扫描工具供应商并将此问题报告为潜在的误报。
MuJS 是一个 Javascript 解释器,它不存在于 Alpine linux 的软件包列表中(截至目前最新版本 3.14)。然而,当一个人在 Alpine 上安装一个 OpenJDK11 package 时,如下所示,它似乎确实被安全扫描工具发现了:
apk add openjdk11-jre
在哪里可以找到随 OpenJDK11 安装捆绑/安装的所有 Linux 组件的列表?
Where can I find the list of all Linux components that get bundled/ installed along with the installation of OpenJDK11?
随openjdk11-jre一起安装的依赖包列表可以参考package page。您也可以在使用 apk.
要获取已安装 java 模块的列表,运行:java --list-modules。
要获取与此包及其依赖包一起安装的文件的完整列表,您可以转储容器的所有文件列表:
sudo docker export <container-id> | tar tfv - > out.txt
然后,对原版 Alpine 3.14 图像执行相同操作,并比较输出。你可以看到差异 here.
However, when one installs an OpenJDK11 package on Alpine, as shown below, it does seem to get picked up by security scanning tools.
根据现有证据,这很可能是误报:
- 正如您所注意到的,没有列出任何 MuJS 依赖项,Alpine 存储库中也没有可用的 MuJS 包 (package name search, content search)
- None 个 MuJS 文件可以在容器中找到:
mujs可执行文件、libmujs.a、libmujs.so或任何 source files - 理论上,如果是 OpenJDK 发行版的一部分,MuJS 可以静态链接到其中一个库和可执行文件中。所以为了以防万一,我在 OpenJDK 11 github 镜像中搜索了
mujs,它给出了 0 results - 之前在 OpenJDK 邮件列表上发布过类似问题,但未得到答复:
https://mail.openjdk.java.net/pipermail/discuss/2019-June/005069.html
我的建议是联系安全扫描工具供应商并将此问题报告为潜在的误报。