我已经对我们在软件中使用的几个库进行了手动检查。 其中一个spring-framework目前在4.0.3版本中,而最新版本是4.3.2。 因此,我searchNational Vunerability Database为了找到这个旧版本是否有漏洞(或不)。OWASP依赖检查maven的可靠性是什么?
看来有3个这里应用的已知漏洞:CVE-2015-3192, CVE-2014-3625, CVE-2014-3578
然后,我建立了我的项目,OWASP的依赖 - 检查 - 行家。 由于他们也使用NVD数据库,我预计会有相同的结果。尽管如此,它最终没有返回任何漏洞。因为我对安全问题还特别不安(特别是新手!),尤其是'误报',我想知道如果这些可能是一些,并因此被插件忽略...或者如果我是错误在我的手动分析...但此外,我想分享这个插件的经验:
- 你有没有经历过它?
- 我可以信赖吗?比如我可以告诉我的客户他们可以对012AS16-A9有信心吗?
- 是否有方法配置它,以便您可以完美地传递信息?
预先感谢您的回答
杰里米,感谢您的回答。我意识到我应该将它发布到邮件列表中。目前,我知道这不是一个微不足道的过程,我应该依靠它来维护,但我应该不时进行额外的检查。 – Marvin