抑制特定依赖中 JAR 文件的 OWASP 发现结果

huangapple go评论78阅读模式
英文:

Suppress OWASP findings for JAR in certain dependency

问题

插件dependency-check-maven 正确地列出了以下问题:

<!-- language: lang-none -->

swagger-codegen-generators-1.0.19.jar: gradle-wrapper.jar: CVE-2016-6199,CVE-2019-16370,CVE-2019-11065,CVE-2019-15052

但是,我想在swagger-codegen-generators-1.0.19.jar内抑制gradle-wrapper.jar的CVE漏洞。

我目前尝试过的方法:

<!-- language: lang-xml -->

&lt;!-- 可行,但无法限制到swagger-codegen-generators依赖 --&gt;
&lt;suppress&gt;
  &lt;filePath regex=&quot;true&quot;&gt;.*\bgradle-wrapper\.jar&lt;/filePath&gt;
  &lt;cve&gt;CVE-2016-6199&lt;/cve&gt;
  &lt;cve&gt;CVE-2019-11065&lt;/cve&gt;
  &lt;cve&gt;CVE-2019-15052&lt;/cve&gt;
  &lt;cve&gt;CVE-2019-16370&lt;/cve&gt;
&lt;/suppress&gt;

&lt;!-- 由于其他被忽略的CVE不匹配,gav似乎是正确的 --&gt;
&lt;suppress&gt;
  &lt;gav regex=&quot;true&quot;&gt;^io\.swagger\.codegen\.v3:swagger-codegen-generators:.*$&lt;/gav&gt;
  &lt;cve&gt;CVE-2016-6199&lt;/cve&gt;
  &lt;cve&gt;CVE-2019-11065&lt;/cve&gt;
  &lt;cve&gt;CVE-2019-15052&lt;/cve&gt;
  &lt;cve&gt;CVE-2019-16370&lt;/cve&gt;
&lt;/suppress&gt;

&lt;!-- 从报告中生成;可行,但无法限制到swagger-codegen-generators依赖(gradle-wrapper.jar的sha1) --&gt;
&lt;suppress&gt;
  &lt;notes&gt;&lt;![CDATA[
    文件名:swagger-codegen-generators-1.0.19.jar: gradle-wrapper.jar
  ]]&gt;&lt;/notes&gt;
  &lt;sha1&gt;0f6f1fa2b59ae770ca14f975726bed8d6620ed9b&lt;/sha1&gt;
  &lt;cve&gt;CVE-2016-6199&lt;/cve&gt;
  &lt;cve&gt;CVE-2019-11065&lt;/cve&gt;
  &lt;cve&gt;CVE-2019-15052&lt;/cve&gt;
  &lt;cve&gt;CVE-2019-16370&lt;/cve&gt;
&lt;/suppress&gt;
英文:

The dependency-check-maven plugin correctly lists the following issue:

<!-- language: lang-none -->

swagger-codegen-generators-1.0.19.jar: gradle-wrapper.jar: CVE-2016-6199, CVE-2019-16370, CVE-2019-11065, CVE-2019-15052

Anyway, I want to suppress the CVEs for gradle-wrapper.jar within swagger-codegen-generators-1.0.19.jar.

What I have tried so far:

<!-- language: lang-xml -->

&lt;!-- works, but does not restrict to swagger-codegen-generators dependency --&gt;
&lt;suppress&gt;
  &lt;filePath regex=&quot;true&quot;&gt;.*\bgradle-wrapper\.jar&lt;/filePath&gt;
  &lt;cve&gt;CVE-2016-6199&lt;/cve&gt;
  &lt;cve&gt;CVE-2019-11065&lt;/cve&gt;
  &lt;cve&gt;CVE-2019-15052&lt;/cve&gt;
  &lt;cve&gt;CVE-2019-16370&lt;/cve&gt;
&lt;/suppress&gt;

&lt;!-- does not match, due to other ignored CVEs the gav seems to be correct --&gt;
&lt;suppress&gt;
  &lt;gav regex=&quot;true&quot;&gt;^io\.swagger\.codegen\.v3:swagger-codegen-generators:.*$&lt;/gav&gt;
  &lt;cve&gt;CVE-2016-6199&lt;/cve&gt;
  &lt;cve&gt;CVE-2019-11065&lt;/cve&gt;
  &lt;cve&gt;CVE-2019-15052&lt;/cve&gt;
  &lt;cve&gt;CVE-2019-16370&lt;/cve&gt;
&lt;/suppress&gt;

&lt;!-- generated from the report; works, but does not restrict to swagger-codegen-generators dependency (sha1 of gradle-wrapper.jar) --&gt;
&lt;suppress&gt;
  &lt;notes&gt;&lt;![CDATA[
    file name: swagger-codegen-generators-1.0.19.jar: gradle-wrapper.jar
  ]]&gt;&lt;/notes&gt;
  &lt;sha1&gt;0f6f1fa2b59ae770ca14f975726bed8d6620ed9b&lt;/sha1&gt;
  &lt;cve&gt;CVE-2016-6199&lt;/cve&gt;
  &lt;cve&gt;CVE-2019-11065&lt;/cve&gt;
  &lt;cve&gt;CVE-2019-15052&lt;/cve&gt;
  &lt;cve&gt;CVE-2019-16370&lt;/cve&gt;
&lt;/suppress&gt;

答案1

得分: 1

我可以通过从报告文件中获取的文件路径描述它。

<!-- language: lang-xml -->
<suppress>
  <filePath regex="true">.*\bswagger-codegen-generators.*\bgradle-wrapper\.jar</filePath>
  <cve>CVE-2016-6199</cve>
  <cve>CVE-2019-11065</cve>
  <cve>CVE-2019-15052</cve>
  <cve>CVE-2019-16370</cve>
</suppress>
英文:

I was able to describe it over the file path that I got from the report file target/dependency-check-report.html.

<!-- language: lang-xml -->

&lt;suppress&gt;
  &lt;filePath regex=&quot;true&quot;&gt;.*\bswagger-codegen-generators.*\bgradle-wrapper\.jar&lt;/filePath&gt;
  &lt;cve&gt;CVE-2016-6199&lt;/cve&gt;
  &lt;cve&gt;CVE-2019-11065&lt;/cve&gt;
  &lt;cve&gt;CVE-2019-15052&lt;/cve&gt;
  &lt;cve&gt;CVE-2019-16370&lt;/cve&gt;
&lt;/suppress&gt;

huangapple
  • 本文由 发表于 2020年4月8日 16:33:14
  • 转载请务必保留本文链接:https://go.coder-hub.com/61096524.html
匿名

发表评论

匿名网友

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen:

确定