Docker 安全扫描检测到 gradle 7.4.1 中的漏洞
Docker security scan detects vulnerability in gradle 7.4.1
使用 gradle 7.4.1 创建 docker 图像会触发显示漏洞 CVE-2020-36518 的安全扫描。如何更新 gradle 包中的这个特定 jar 文件?
我会拒绝这个安全问题,解释说由于 Gradle 构建在受控输入上隔离运行,并且任何潜在攻击者都无法访问,因此无法利用该漏洞。
(假设是这种情况,并且您没有使用 Jackson 从 Gradle 类路径读取不受信任的 JSON 文档的自定义 Gradle 插件。但是即便如此,您所冒的只是构建中的 denial-of-service。)
在外部工具中摆弄 jar 文件很容易导致以后难以调试的问题。但如果你愿意,你可以创建一个 issue for them, asking if they could bump the Jackson version to avoid unnecessary noise from security scans like this. There is an example of that here.
使用 gradle 7.4.1 创建 docker 图像会触发显示漏洞 CVE-2020-36518 的安全扫描。如何更新 gradle 包中的这个特定 jar 文件?
我会拒绝这个安全问题,解释说由于 Gradle 构建在受控输入上隔离运行,并且任何潜在攻击者都无法访问,因此无法利用该漏洞。
(假设是这种情况,并且您没有使用 Jackson 从 Gradle 类路径读取不受信任的 JSON 文档的自定义 Gradle 插件。但是即便如此,您所冒的只是构建中的 denial-of-service。)
在外部工具中摆弄 jar 文件很容易导致以后难以调试的问题。但如果你愿意,你可以创建一个 issue for them, asking if they could bump the Jackson version to avoid unnecessary noise from security scans like this. There is an example of that here.