【问题标题】:Determine whether a MavenCentral component is "dangerous"确定 MavenCentral 组件是否“危险”
【发布时间】:2017-08-21 03:11:36
【问题描述】:

MavenCentral 包含很多工件。其中一些不应该使用,因为它们有严重的错误,例如威胁安全。

我知道 Nexus Firewall 提供了一项昂贵的服务来分析这些工件。是否有其他方法可以提供(至少一点)针对此类漏洞的保护?

【问题讨论】:

  • 好吧,您最好的选择可能是了解您自己使用的组件。毕竟是你知道哪些正在被使用以及你如何使用它们。我假设更易受攻击/暴露的组件提供了一些方法来发布已知漏洞和修复,至少这是我们与更通用的安全委员会一起监控的内容。
  • @Thomas 谢谢,我应该更清楚一点:我们公司使用的外部 jar 有 1000 多个。其中大部分来自 MavenCentral。我想编写一个自动检查,查看这 1000 多个罐子(以及将来添加的所有罐子),以提示我是否应该使用这些罐子。可以通过 Maven 获取许可,但也应考虑其他信息(如安全性)。

标签: java maven maven-central


【解决方案1】:

OWASP dependency check 针对公开披露的漏洞检查依赖关系,并且是免费的。

【讨论】:

  • 听起来不错,但我仍在为公司代理而苦苦挣扎。一旦找到运行依赖项检查的方法,我就会接受答案。
  • 还有一些较小的项目:victi.ms/client.html。 OWASP 提到了它。它仅适用于 Java。关于页面状态The victims database is primarily maintained by the Red Hat Security Response Team,... - victi.ms/about.html
猜你喜欢
  • 2018-04-30
  • 2018-06-14
  • 1970-01-01
  • 1970-01-01
  • 2019-11-28
  • 2010-11-30
  • 2023-04-07
  • 2011-10-24
  • 1970-01-01
相关资源
最近更新 更多