我在 OWASP 依赖项检查中构建了 CI 失败。例如
[HIGH] CVE-2021-37136 - io.netty:netty-codec-4.1.66.Final
我知道我可以添加一个抑制owaspDependencyCheckSuppressions.xml来解决这个问题。
这是我以前没有做过的事情,但这里有一个指南 - https://jeremylong.github.io/DependencyCheck/general/suppression.html 它说......
“使用 HTML 报告抑制这些误报相当容易。在每个识别出的 CPE 旁边的报告中(以及 CVE 条目上)都有一个抑制按钮。单击抑制按钮将创建一个对话框,您可以简单地按 Control-C将要放置的 XML 复制到抑制 XML 文件中”
我有 2 个问题
#1 你知道我在哪里可以找到这份 HTML 报告吗?我认为它可能在 CI 中链接(我使用的是 Circle CI),但我无法在那里发现它:(
#2 指南中给出了一个示例抑制
<?xml version="1.0" encoding="UTF-8"?>
<suppressions xmlns="https://jeremylong.github.io/DependencyCheck/dependency-suppression.1.3.xsd">
<suppress>
<notes><![CDATA[
file name: some.jar
]]></notes>
<sha1>66734244CE86857018B023A8C56AE0635C56B6A1</sha1>
<cpe>cpe:/a:apache:struts:2.0.0</cpe>
</suppress>
</suppressions>
导游接着说
“上述 XML 文件将抑制任何具有匹配 SHA1 哈希的文件中的 cpe:/a:apache:struts:2.0.0。”
“任何文件”是什么意思?这是否意味着任何使用依赖项的 Java 类?
谢谢 :)