我需要“解决”我的 Springboot 应用程序中的所有漏洞。
我使用Springboot 2.7.14。遗憾的是我无法使用较新的版本。 我需要排除当前的 Netty,但如果我包含最新的 Netty,它仍然存在漏洞,甚至根据 grype 测试来看是关键漏洞。 我可以包括 Jetty,但它是一样的。 (反应器-netty-http)
reactor-netty-core 1.1.9 java-archive CVE-2019-20445 Critical
reactor-netty-core 1.1.9 java-archive CVE-2019-20444 Critical
reactor-netty-core 1.1.9 java-archive CVE-2022-41881 High
reactor-netty-core 1.1.9 java-archive CVE-2021-37137 High
reactor-netty-core 1.1.9 java-archive CVE-2021-37136 High
reactor-netty-core 1.1.9 java-archive CVE-2019-16869 High
reactor-netty-core 1.1.9 java-archive CVE-2015-2156 High
reactor-netty-core 1.1.9 java-archive CVE-2023-34462 Medium
reactor-netty-core 1.1.9 java-archive CVE-2022-24823 Medium
reactor-netty-core 1.1.9 java-archive CVE-2021-43797 Medium
reactor-netty-core 1.1.9 java-archive CVE-2021-21409 Medium
reactor-netty-core 1.1.9 java-archive CVE-2021-21295 Medium
reactor-netty-core 1.1.9 java-archive CVE-2021-21290 Medium
reactor-netty-core 1.1.9 java-archive CVE-2014-3488 Medium
我需要某种 ClientHttpConnector。
您有什么建议可以减少漏洞,或者使用另一个库来代替这两个库吗?你会做什么?
排除、jetty、netty 等........
reactor-netty-core
和 reactor-netty-http
都不包含 JAR 文件内的任何 Maven 信息(文件夹 pom.xml
中的文件 pom.properties
和 META-INF/maven/<groupId>/<artifactId>
)。因此,OWASP 依赖项检查(可能还有其他工具)不会将它们识别为 reactor-netty-core
或 reactor-netty-http
,而是识别为 Netty 本身 (cpe:/a:netty:netty
)。 1.x 版本中存在一些漏洞,因此会触发误报。
根据您的工具,您需要添加一个或多个抑制。不幸的是,这无法使用 Maven 坐标来完成,因此您需要根据使用的每个版本的文件哈希来完成此操作。例如,在版本 1.0.31 的 OWASP 依赖项检查抑制文件中(某些 Quarkus 2.x 版本包含):
<suppress>
<notes><![CDATA[
file name: reactor-netty-core-1.0.31.jar
]]></notes>
<!-- No POM information available, so use sha1 matching instead -->
<sha1>8f71cedfc447352d251148825a887b4a5968dd65</sha1>
<cpe>cpe:/a:netty:netty</cpe>
</suppress>
<suppress>
<notes><![CDATA[
file name: reactor-netty-http-1.0.31.jar
]]></notes>
<!-- No POM information available, so use sha1 matching instead -->
<sha1>4b1aa019f0fb4724752237a2d2a156e6ba4eeca6</sha1>
<cpe>cpe:/a:netty:netty</cpe>
</suppress>