Я выполнил ручную проверку нескольких библиотек, которые мы используем в нашем программном обеспечении. Одна из них, весна-каркас, в настоящее время находится в версии 4.0.3, а последняя версия - 4.3.2. Таким образом, I searchNational Vunerability Database, чтобы узнать, была ли эта старая версия уязвимой (или нет).Какова надежность проверки зависимостей OWASP?
Оказывается есть 3 известные уязвимости, применяющих здесь: CVE-2015-3192, CVE-2014-3625, CVE-2014-3578
Тогда я построил свой проект с зависимостями чек-мавена OWASP в. Поскольку они также используют базу данных NVD, я ожидал получить тот же результат. Хотя, в конечном итоге он не получил никаких уязвимостей.
Поскольку я все еще довольно непросто (и новичок!) С вопросами безопасности, и особенно «ложным положительным», мне интересно, могут ли они быть кем-то, и, следовательно, они игнорируются плагином ... или, может быть, если я Неправильно в моем ручном анализе ... Но более того, я хочу поделиться опытом по этому плагину:
- Вы испытали это?
- Могу ли я полагаться на него, например, я могу сказать моему клиенту, что они могут быть уверены в OWASP-A9?
- Есть ли способ настроить его так, чтобы вы могли быть совершенно констатированными?
Заранее спасибо за ваши ответы
Джереми, спасибо за ваш ответ. Я понимаю, что должен был опубликовать его в списке рассылки. На данный момент я понимаю, что это не тривиальный процесс, и я должен полагаться на него для обслуживания, но время от времени я должен выполнять дополнительные проверки. – Marvin