Dependency-Track 忘记了对漏洞的抑制

问题描述 投票:0回答:1

我在构建管道中包含了依赖项跟踪:

mvn cyclonedx:makeAggregateBom dependency-track:upload-bom

我的maven项目是这样配置的:

<plugin>
    <groupId>io.github.pmckeown</groupId>
    <artifactId>dependency-track-maven-plugin</artifactId>
    <version>1.5.0</version>
    <configuration>
        <dependencyTrackBaseUrl>https://dependency-track.<my-company.com></dependencyTrackBaseUrl>
        <apiKey>${env.DEPENDENCY_TRACK_API_KEY}</apiKey>
        <failOnError>true</failOnError>
        <pollingConfig>
            <pause>2</pause>
            <attempts>30</attempts>
        </pollingConfig>
    </configuration>
</plugin>

这一切都工作正常,我在依赖项跟踪中得到了分析结果。

现在我抑制了依赖跟踪中发现的一些漏洞,因为它们不会影响我的项目。

一段时间后(我认为不是立即)依赖跟踪似乎忘记了一些抑制并再次显示了漏洞。

这尤其发生在 

spring-security-web:5.7.8
依赖项上:

我调用依赖跟踪的方式有问题吗?还是更有可能配置错误?

owasp owasp-dependency-track
1个回答
0
投票

我也有类似的问题。我使用与您相同的工具(cdxgen)来生成 SBOM,然后将此 SBOM 传递到依赖项跟踪。就我而言,所有这些步骤都是经常运行的管道中的作业。我尝试解决该问题,这就是导致该问题的场景:

  • 管道 #01:所有作业均成功。
  • Pipeline #02:引入了新的易受攻击的依赖项,因此管道失败。我去DT(依赖跟踪)并抑制漏洞。
  • 管道 #03:所有作业均成功。
  • 管道#04:与#02 中的漏洞相同。 经过研究,我发现 #03 中的 cdxgen 正在生成一个空的 SBOM(由于执行回退),并且显然 DT 没有任何可报告的内容,因此管道是绿色的。我的假设是,这一事实导致 DT 忘记了被抑制的漏洞,因为 SBOM 是空的并且没有依赖关系。在下一次运行(#04)中,SBOM 正确生成,并且 DT 失去了抑制,这就是它不断出现的原因。

我打开了这个问题,看起来现在已经修复了,只需升级到最新版本即可。

最新问题
© www.soinside.com 2019 - 2024. All rights reserved.