https://jeremylong.github.io/DependencyCheck/general/suppression.html中的文档显示了如何选择匹配包 url 以抑制误报。 “@”从哪里来?凭直觉,我可以推断之后会有版本号,但是访问两个https://mvnrepository.com/artifact/org.eclipse.jetty/jetty-server/11.0.9 和https://repo1.maven.org/maven2/org/eclipse/jetty/jetty-server/11.0.9/ 没有给我任何关于它实际匹配的字符串的线索。这个 packageUrl 格式是特定于依赖检查插件的吗?
<suppress>
<notes><![CDATA[
This suppresses a CVE identified by OSS Index using the vulnerability name and packageUrl.
]]></notes>
<packageUrl regex="true">^pkg:maven/org\.eclipse\.jetty/jetty-server@.*$</packageUrl>
<vulnerabilityName>CVE-2017-7656</vulnerabilityName>
</suppress>
谢谢!
@
符号将包名称与其版本分开。例如
^pkg:maven/org\.eclipse\.jetty/[email protected]$
将专门指该包的版本 2.3.14,而在您的示例中 @.*
指该包的任何版本。