哪些 OpenJDK11 组件依赖于 Alpine Linux 上的 MuJS?

Which OpenJDK11 components are dependent on MuJS on Alpine Linux?

Mu​​JS 是一个 Javascript 解释器,它不存在于 Alpine linux 的软件包列表中(截至目前最新版本 3.14)。然而,当一个人在 Alpine 上安装一个 OpenJDK11 package 时,如下所示,它似乎确实被安全扫描工具发现了:

apk add openjdk11-jre

在哪里可以找到随 OpenJDK11 安装捆绑/安装的所有 Linux 组件的列表?

Where can I find the list of all Linux components that get bundled/ installed along with the installation of OpenJDK11?

openjdk11-jre一起安装的依赖包列表可以参考package page。您也可以在使用 apk.

安装软件包时看到它们

要获取已安装 java 模块的列表,运行:java --list-modules

要获取与此包及其依赖包一起安装的文件的完整列表,您可以转储容器的所有文件列表:

sudo docker export <container-id> | tar tfv - > out.txt

然后,对原版 Alpine 3.14 图像执行相同操作,并比较输出。你可以看到差异 here.

However, when one installs an OpenJDK11 package on Alpine, as shown below, it does seem to get picked up by security scanning tools.

根据现有证据,这很可能是误报:

  • 正如您所注意到的,没有列出任何 MuJS 依赖项,Alpine 存储库中也没有可用的 MuJS 包 (package name search, content search)
  • None 个 MuJS 文件可以在容器中找到:mujs 可执行文件、libmujs.alibmujs.so 或任何 source files
  • 理论上,如果是 OpenJDK 发行版的一部分,MuJS 可以静态链接到其中一个库和可执行文件中。所以为了以防万一,我在 OpenJDK 11 github 镜像中搜索了 mujs,它给出了 0 results
  • 之前在 OpenJDK 邮件列表上发布过类似问题,但未得到答复:
    https://mail.openjdk.java.net/pipermail/discuss/2019-June/005069.html

我的建议是联系安全扫描工具供应商并将此问题报告为潜在的误报。