Fortify的抱怨基於Fortify的（由HP靜態代碼分析）報告的Maven的pom.xml外部模式

Question

，顯然的pom.xml以下行是漏洞：

<project xmlns="http://maven.apache.org/POM/4.0.0" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" 
     xsi:schemaLocation="http://maven.apache.org/POM/4.0.0 http://maven.apache.org/maven-v4_0_0.xsd"> 
... 

因爲

構建配置錯誤：外部Maven Dependency Repository：此Maven構建腳本依賴於外部源，這可能允許攻擊者將惡意代碼插入最終產品或控制bui ld機器。

這是有點誤報檢測，但根據我公司的偏執安全政策，我無法壓制這一點。所以現在pom.xml看起來像這樣：

<project> 
... 

它仍然是生成/編譯正確。 IDE仍將文件識別爲有效的Maven項目對象模型文件。沒什麼不好發生。

我想知道是否有任何可能的情況下，這種修改可能會導致一些真正的問題？例如，一些已知的工具或解析器不會將其識別爲有效的Maven項目文件。謝謝。

Answer 1

我不認爲他們已經解決了登錄的issue，因爲我沒有看到任何提交。 即使我刪除了<項目>標籤，我仍然抱怨同樣的問題在問題中解決。 注：我在版本6.21.0005，使用審計工作臺，Fortify靜態代碼分析器軟件。