我想解决我项目中的每个 CVE 问题。我正在使用org.owasp.dependencycheck插件,但即使在一个空项目中,它也返回很少的 CVE:
bcprov-jdk15on-1.56.jar: ids:(org.bouncycastle:bcprov-jdk15on:1.56, cpe:/a:bouncycastle:legion-of-the-bouncy-castle-java-crytography-api:1.56) : CVE-2017-13098, CVE-2018-1000180, CVE-2018-1000613
builder-3.3.1.jar: desugar_deploy.jar: ids:(com.google.guava:guava:21.0, cpe:/a:google:guava:21.0) : CVE-2018-10237
intellij-core-26.3.1.jar (shaded: com.google.protobuf:protobuf-java:2.6.1): ids:(cpe:/a:google:protobuf:2.6.1, com.google.protobuf:protobuf-java:2.6.1) : CVE-2015-5237
intellij-core-26.3.1.jar (shaded: org.picocontainer:picocontainer:1.2): ids:(org.picocontainer:picocontainer:1.2, cpe:/a:site_documentation_project:site_documentation:1.2) : CVE-2015-4370
这个结果来自空项目。我的build.gradle:
apply plugin: 'com.android.application'
apply plugin: 'kotlin-android'
apply plugin: 'kotlin-android-extensions'
apply plugin: 'org.owasp.dependencycheck'
android {
compileSdkVersion 28
defaultConfig {
applicationId "com.example.testcve"
minSdkVersion 21
targetSdkVersion 28
versionCode 1
versionName "1.0"
testInstrumentationRunner "android.support.test.runner.AndroidJUnitRunner"
}
buildTypes {
release {
minifyEnabled false
proguardFiles getDefaultProguardFile('proguard-android.txt'), 'proguard-rules.pro'
}
}
}
dependencyCheck {
failBuildOnCVSS 0
}
check.dependsOn dependencyCheckAnalyze
dependencies {
implementation fileTree(dir: 'libs', include: ['*.jar'])
implementation"org.jetbrains.kotlin:kotlin-stdlib-jdk7:$kotlin_version"
implementation 'com.android.support:appcompat-v7:28.0.0'
implementation 'com.android.support.constraint:constraint-layout:1.1.3'
testImplementation 'junit:junit:4.12'
androidTestImplementation 'com.android.support.test:runner:1.0.2'
androidTestImplementation 'com.android.support.test.espresso:espresso-core:3.0.2'
}
和:
buildscript {
ext.kotlin_version = '1.3.21'
repositories {
google()
jcenter()
mavenLocal()
}
dependencies {
classpath 'com.android.tools.build:gradle:3.3.1'
classpath "org.jetbrains.kotlin:kotlin-gradle-plugin:$kotlin_version"
classpath "org.owasp:dependency-check-gradle:4.0.0"
}
}
allprojects {
repositories {
google()
jcenter()
}
}
task clean(type: Delete) {
delete rootProject.buildDir
}
一切都是最新的。
任何想法如何解决这些CVE?
这些文件由 Android 构建系统使用。这就是为什么即使在“空”项目中也会报告它们的原因。
检查依赖树以查看这些文件的使用位置: ./gradlew app:dependencies
...
lintClassPath - The lint embedded classpath
\--- com.android.tools.lint:lint-gradle:26.4.1
+--- com.android.tools:sdk-common:26.4.1
| +--- com.android.tools:sdklib:26.4.1
| | +--- com.android.tools.layoutlib:layoutlib-api:26.4.1
| | ...
| +--- com.android.tools.ddms:ddmlib:26.4.1 (*)
| +--- org.bouncycastle:bcpkix-jdk15on:1.56
| | \--- org.bouncycastle:bcprov-jdk15on:1.56 <--
| +--- org.bouncycastle:bcprov-jdk15on:1.56 <--
...
在这个例子中,它是com.android.tools:sdk-common。这是一个构建库,由其他 Android 工具库使用 ( https://mvnrepository.com/artifact/com.android.tools/sdk-common/26.4.1 ) 使用。只要 Google 不更新该依赖项,您就无能为力。
虽然报告的漏洞被标记为严重,但这里对您的应用程序的关注较少,因为该文件由构建工具使用,而不是由您的应用程序使用。
如果该releaseCompileClasspath部分中报告了文件,则应该修复它们!
Analyze APK如果您想仔细检查这些文件是否未编译到您的应用程序中,请使用Android Studio的功能。
所以 Carsten 的答案是绝对正确的,但它没有解释如何在 CI Builds 中处理这个问题。
您有两个选项,它们都有效。您可以lintClassPath从依赖性检查中排除 ,或者您将其定义releaseCompileClasspath为要检查的唯一模块配置。我推荐第一个,因为如果碰巧添加了其他模块配置,您可能想检查它们(或者您还想检查调试/测试类路径)。
lintClassPath每个模块(例如你的app/build.gradle):
// ... android and dependency configuration omitted
apply plugin: 'org.owasp.dependencycheck'
// ...
dependencyCheck {
skipConfigurations += 'lintClassPath'
}
对于所有模块(在 root 中build.gradle):
// ... buildscript, etc. omitted
allprojects {
// ... repository configuration omitted
apply plugin: 'org.owasp.dependencycheck'
dependencyCheck {
skipConfigurations += 'lintClassPath'
}
}
releaseCompilepath简单替换skipConfigurations += 'lintClassPath'为scanConfigurations += 'releaseCompileClasspath'. 仅供参考,这些选项是相互排斥的,因此您只需选择其中一种方法。
| 归档时间: |
|
| 查看次数: |
1162 次 |
| 最近记录: |