我在构建管道中包含了依赖项跟踪:
mvn cyclonedx:makeAggregateBom dependency-track:upload-bom
我的maven项目是这样配置的:
<plugin>
<groupId>io.github.pmckeown</groupId>
<artifactId>dependency-track-maven-plugin</artifactId>
<version>1.5.0</version>
<configuration>
<dependencyTrackBaseUrl>https://dependency-track.<my-company.com></dependencyTrackBaseUrl>
<apiKey>${env.DEPENDENCY_TRACK_API_KEY}</apiKey>
<failOnError>true</failOnError>
<pollingConfig>
<pause>2</pause>
<attempts>30</attempts>
</pollingConfig>
</configuration>
</plugin>
这一切都工作正常,我在依赖项跟踪中得到了分析结果。
现在我抑制了依赖跟踪中发现的一些漏洞,因为它们不会影响我的项目。
一段时间后(我认为不是立即)依赖跟踪似乎忘记了一些抑制并再次显示了漏洞。
这尤其发生在
spring-security-web:5.7.8
依赖项上:
我调用依赖跟踪的方式有问题吗?还是更有可能配置错误?
我也有类似的问题。我使用与您相同的工具(cdxgen)来生成 SBOM,然后将此 SBOM 传递到依赖项跟踪。就我而言,所有这些步骤都是经常运行的管道中的作业。我尝试解决该问题,这就是导致该问题的场景:
我打开了这个问题,看起来现在已经修复了,只需升级到最新版本即可。