OWASP依赖检查maven的可靠性是什么？

Question

我已经对我们在软件中使用的几个库进行了手动检查。 其中一个spring-framework目前在4.0.3版本中，而最新版本是4.3.2。 因此，我searchNational Vunerability Database为了找到这个旧版本是否有漏洞（或不）。

看来有3个这里应用的已知漏洞：CVE-2015-3192, CVE-2014-3625, CVE-2014-3578

然后，我建立了我的项目，OWASP的依赖 - 检查 - 行家。 由于他们也使用NVD数据库，我预计会有相同的结果。尽管如此，它最终没有返回任何漏洞。因为我对安全问题还特别不安（特别是新手！），尤其是'误报'，我想知道如果这些可能是一些，并因此被插件忽略...或者如果我是错误在我的手动分析...但此外，我想分享这个插件的经验：

• 你有没有经历过它？
• 我可以信赖吗？比如我可以告诉我的客户他们可以对012AS16-A9有信心吗？
• 是否有方法配置它，以便您可以完美地传递信息？

预先感谢您的回答

Answer 1

很抱歉的延迟反应 - 我通常不这样对依赖检查问题监测。看到我对依赖关系检查邮件列表中的类似问题的回答：https://groups.google.com/forum/#!topic/dependency-check/LjnemiZKeZQ

有了这个特定的错误否定，它与NVD无法确定供应商名称应该用于Spring Framework有什么关系。该NVD具有3.20版本的至少三个不同的标识符：

• cpe:/a:pivotal:spring_framework:3.2.0（2个漏洞）
• cpe:/a:pivotal_software:spring_framework:3.2.0（1漏洞）
• cpe:/a:springsource:spring_framework:3.2.0（5个漏洞）

此假阴性一直解决，补丁将包含在1.4.4版本中（应该在一个月内发布）。如果您遇到其他误报或漏报 - 请将其报告为github repo中的问题。

关于您关于可靠性的问题 - 我还没有测试过100％可靠的工具。我将依赖关系检查视为Java应用程序的最低限度条件。杰里米