OWASP依賴檢查maven的可靠性是什麼？

Question

我已經對我們在軟件中使用的幾個庫進行了手動檢查。 其中一個spring-framework目前在4.0.3版本中，而最新版本是4.3.2。 因此，我searchNational Vunerability Database爲了找到這個舊版本是否有漏洞（或不）。

看來有3個這裏應用的已知漏洞：CVE-2015-3192, CVE-2014-3625, CVE-2014-3578

然後，我建立了我的項目，OWASP的依賴 - 檢查 - 行家。 由於他們也使用NVD數據庫，我預計會有相同的結果。儘管如此，它最終沒有返回任何漏洞。因爲我對安全問題還特別不安（特別是新手！），尤其是'誤報'，我想知道如果這些可能是一些，並因此被插件忽略...或者如果我是錯誤在我的手動分析...但此外，我想分享這個插件的經驗：

• 你有沒有經歷過它？
• 我可以信賴嗎？比如我可以告訴我的客戶他們可以對012AS16-A9有信心嗎？
• 是否有方法配置它，以便您可以完美地傳遞信息？

預先感謝您的回答

Answer 1

很抱歉的延遲反應 - 我通常不這樣對依賴檢查問題監測。看到我對依賴關係檢查郵件列表中的類似問題的回答：https://groups.google.com/forum/#!topic/dependency-check/LjnemiZKeZQ

有了這個特定的錯誤否定，它與NVD無法確定供應商名稱應該用於Spring Framework有什麼關係。該NVD具有3.20版本的至少三個不同的標識符：

• cpe:/a:pivotal:spring_framework:3.2.0（2個漏洞）
• cpe:/a:pivotal_software:spring_framework:3.2.0（1漏洞）
• cpe:/a:springsource:spring_framework:3.2.0（5個漏洞）

此假陰性一直解決，補丁將包含在1.4.4版本中（應該在一個月內發佈）。如果您遇到其他誤報或漏報 - 請將其報告爲github repo中的問題。

關於您關於可靠性的問題 - 我還沒有測試過100％可靠的工具。我將依賴關係檢查視爲Java應用程序的最低限度條件。傑里米