解决Maven依赖关系中的关键漏洞

2ic8powd  于 2023-10-17  发布在  Maven
关注(0)|答案(1)|浏览(243)

我正在做一个Java Jersey应用程序。在我的pom.xml文件中,我包含了某些具有严重漏洞的Maven依赖项。即使在升级到最新版本后,其中一些依赖项仍然存在严重漏洞。
我正在使用开源的OWASP依赖项工具来扫描依赖项中的漏洞。我关心的具体依赖关系是:

  1. cassandra-driver-extras-3.11.4.jar
  2. jackson-databind-2.15.2.jar
  3. json-20230618.jar
  4. spark-core_2.13-3.4.1.jar
  5. spring-boot-starter-parent 3.1.2
  6. org.apache.kerby:kerb-server:1.0.1(我无法确定其下载源)
    我想知道这些依赖是否真的有严重的漏洞。如果有,您能否建议如何解决这个问题?
    我将感谢任何关于可以检查依赖漏洞的替代开源工具的建议。
    我已将依赖项升级到最新版本,但仍显示严重漏洞。
oxalkeyp

oxalkeyp1#

必须仔细检查OWASP依赖性检查工具(与任何其他类似工具一样)的输出,因为它可能包含误报(在OWASP工具中非常常见)和“有争议”的漏洞。
我已经创建了以下POM,其中包含您列出的依赖项以及最新版本的OWASP dependency-check-maven插件:

<?xml version="1.0" encoding="UTF-8"?>
<project xmlns="http://maven.apache.org/POM/4.0.0" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
         xsi:schemaLocation="http://maven.apache.org/POM/4.0.0 http://maven.apache.org/xsd/maven-4.0.0.xsd">
    <modelVersion>4.0.0</modelVersion>

    <name>Test App</name>
    <groupId>test</groupId>
    <artifactId>testApp</artifactId>
    <version>1.0.0-SNAPSHOT</version>
    <packaging>jar</packaging>

    <parent>
        <groupId>org.springframework.boot</groupId>
        <artifactId>spring-boot-starter-parent</artifactId>
        <version>3.1.2</version>
        <relativePath />
    </parent>

    <dependencies>
        <dependency>
            <groupId>com.datastax.cassandra</groupId>
            <artifactId>cassandra-driver-extras</artifactId>
            <version>3.11.4</version>
        </dependency>
        <dependency>
            <groupId>com.fasterxml.jackson.core</groupId>
            <artifactId>jackson-databind</artifactId>
            <version>2.15.2</version>
        </dependency>
        <dependency>
            <groupId>org.json</groupId>
            <artifactId>json</artifactId>
            <version>20230618</version>
        </dependency>
        <dependency>
            <groupId>org.apache.spark</groupId>
            <artifactId>spark-core_2.13</artifactId>
            <version>3.4.1</version>
        </dependency>
        <dependency>
            <groupId>org.apache.kerby</groupId>
            <artifactId>kerb-server</artifactId>
            <version>1.0.1</version>
        </dependency>
    </dependencies>

    <build>
        <plugins>
            <plugin>
                <groupId>org.owasp</groupId>
                <artifactId>dependency-check-maven</artifactId>
                <version>8.4.0</version>
                <executions>
                    <execution>
                        <goals>
                            <goal>check</goal>
                        </goals>
                    </execution>
                </executions>
            </plugin>
        </plugins>
    </build>
</project>

然后在上面执行mvn verify。由此产生的漏洞报告说:

Vulnerable Dependencies: 25
Vulnerabilities Found: 56

让我们只检查您列出的前3个库的漏洞:

  1. cassandra-driver-extras-3.11.4.jar:这是一个误报,因为该工具报告了另一个软件Apache Cassandra的CVE。
  2. jackson-databind-2.15.2.jar:这是最新版本,它只有一个标记为“有争议”的CVE。由你来决定是否可以忽略它。
  3. json-20230618.jar:这是一个误报,因为报告说“版本高达(不包括)20230227”是脆弱的,但你的版本是新的。

    使用相同的POM,加上一个虚拟的main类,我生成了一个Docker镜像:
mvn spring-boot:build-image -Dspring-boot.build-image.imageName=myapp

然后我用trivy(另一个漏洞扫描工具)检查了它。对于trivy,假阳性是罕见的,事实上,上面分析的三个假阳性不会出现;然而,该报告仍然列出了许多CVE:

Total: 42 (UNKNOWN: 0, LOW: 4, MEDIUM: 27, HIGH: 10, CRITICAL: 1)

相关问题