我已經對我們在軟件中使用的幾個庫進行了手動檢查。 其中一個spring-framework目前在4.0.3版本中,而最新版本是4.3.2。 因此,我searchNational Vunerability Database爲了找到這個舊版本是否有漏洞(或不)。OWASP依賴檢查maven的可靠性是什麼?
看來有3個這裏應用的已知漏洞:CVE-2015-3192, CVE-2014-3625, CVE-2014-3578
然後,我建立了我的項目,OWASP的依賴 - 檢查 - 行家。 由於他們也使用NVD數據庫,我預計會有相同的結果。儘管如此,它最終沒有返回任何漏洞。因爲我對安全問題還特別不安(特別是新手!),尤其是'誤報',我想知道如果這些可能是一些,並因此被插件忽略...或者如果我是錯誤在我的手動分析...但此外,我想分享這個插件的經驗:
- 你有沒有經歷過它?
- 我可以信賴嗎?比如我可以告訴我的客戶他們可以對012AS16-A9有信心嗎?
- 是否有方法配置它,以便您可以完美地傳遞信息?
預先感謝您的回答
傑里米,感謝您的回答。我意識到我應該將它發佈到郵件列表中。目前,我知道這不是一個微不足道的過程,我應該依靠它來維護,但我應該不時進行額外的檢查。 – Marvin