Gradle owasp插件无法看到CVE-2022-42889

8gsdolmq  于 2022-11-14  发布在  其他
关注(0)|答案(1)|浏览(149)

我有一个build.gradle文件,其中包含以下插件和依赖项

plugins {
    ...
    id 'org.owasp.dependencycheck' version '7.3.0',
    ...
}

ext {
    ...
    okHttpVersion = '4.9.3'
    ...
}

repositories {
    mavenCentral()
}

dependencies {
    implementation(
            ...
            //misc
            'org.testcontainers:junit-jupiter:1.16.3',
            'org.everit.json:org.everit.json.schema:1.5.1',
            'com.github.therapi:therapi-runtime-javadoc:0.13.0',
            'org.apache.commons:commons-text:1.9.0',  //this is the vulnerability
            "com.squareup.okhttp3:okhttp:$okHttpVersion",
            "com.squareup.okhttp3:mockwebserver:$okHttpVersion",
            ...
    )
    ...
}

当我在报告中运行./gradlew dependencyCheckAnalyze时,我看不到有关'org.apache.commons:commons-text:1.9.0'的任何信息
我尝试执行./gradlew dependencyCheckPurge,然后执行./gradlew dependencyCheckUpadte,最后执行./gradlew dependencyCheckAnalyze,但报告输出相同

eit6fx6z

eit6fx6z1#

由于某种原因,插件无法识别MAJOR.MINOR.PATCH模式,而只能识别MAJOR.MINOR。因此,1.9.0不可见。在maven存储库中,1.9.0已不再存在。
放置1.9修复了报告结果
不过我认为这是插件问题
UPDATED 07.11.2022
1.9.0从未存在过

相关问题