OWASP 依赖检查,如何使用抑制
OWASP Dependency check, how to use suppressions
我在 CI 中有一个构建在 OWASP 依赖项检查中失败。
例如
[HIGH] CVE-2021-37136 - io.netty:netty-codec-4.1.66.Final
我知道我可以在 owaspDependencyCheckSuppressions.xml
中添加抑制来解决这个问题。
这是我以前没有做过的事情,但这里有一个指南 -
https://jeremylong.github.io/DependencyCheck/general/suppression.html
它说 ...
"Suppressing these false positives is fairly easy using the HTML
report. In the report next to each CPE identified (and on CVE
entries) there is a suppress button. Clicking the suppression button
will create a dialogue box which you can simple hit Control-C to copy
the XML that you would place into a suppression XML file"
我有 2 个问题
#1 你知道我在哪里可以找到这份 HTML 报告吗?我认为它可能链接在 CI 中(我正在使用 Circle CI),但我无法在那里找到它:(
#2 指南中给出了抑制示例
<?xml version="1.0" encoding="UTF-8"?>
<suppressions xmlns="https://jeremylong.github.io/DependencyCheck/dependency-suppression.1.3.xsd">
<suppress>
<notes><![CDATA[
file name: some.jar
]]></notes>
<sha1>66734244CE86857018B023A8C56AE0635C56B6A1</sha1>
<cpe>cpe:/a:apache:struts:2.0.0</cpe>
</suppress>
</suppressions>
导游接着说
"The above XML file will suppress the cpe:/a:apache:struts:2.0.0 from
any file with the a matching SHA1 hash."
“任何文件”是什么意思?这是否意味着使用依赖项的任何 Java class?
谢谢:)
#1 单击 CI 中 OWASP 依赖项检查任务的 'artifacts' 选项卡,html 报告就在那里。
#2 'File' 在此上下文中表示 jar 中的文件保证存在依赖性问题。它将在 html 报告中提供给您。
我在 CI 中有一个构建在 OWASP 依赖项检查中失败。 例如
[HIGH] CVE-2021-37136 - io.netty:netty-codec-4.1.66.Final
我知道我可以在 owaspDependencyCheckSuppressions.xml
中添加抑制来解决这个问题。
这是我以前没有做过的事情,但这里有一个指南 - https://jeremylong.github.io/DependencyCheck/general/suppression.html 它说 ...
"Suppressing these false positives is fairly easy using the HTML report. In the report next to each CPE identified (and on CVE entries) there is a suppress button. Clicking the suppression button will create a dialogue box which you can simple hit Control-C to copy the XML that you would place into a suppression XML file"
我有 2 个问题
#1 你知道我在哪里可以找到这份 HTML 报告吗?我认为它可能链接在 CI 中(我正在使用 Circle CI),但我无法在那里找到它:(
#2 指南中给出了抑制示例
<?xml version="1.0" encoding="UTF-8"?>
<suppressions xmlns="https://jeremylong.github.io/DependencyCheck/dependency-suppression.1.3.xsd">
<suppress>
<notes><![CDATA[
file name: some.jar
]]></notes>
<sha1>66734244CE86857018B023A8C56AE0635C56B6A1</sha1>
<cpe>cpe:/a:apache:struts:2.0.0</cpe>
</suppress>
</suppressions>
导游接着说
"The above XML file will suppress the cpe:/a:apache:struts:2.0.0 from any file with the a matching SHA1 hash."
“任何文件”是什么意思?这是否意味着使用依赖项的任何 Java class?
谢谢:)
#1 单击 CI 中 OWASP 依赖项检查任务的 'artifacts' 选项卡,html 报告就在那里。
#2 'File' 在此上下文中表示 jar 中的文件保证存在依赖性问题。它将在 html 报告中提供给您。