确定 MavenCentral 组件是不是“危险”

Posted 2023-02-18

【中文标题】确定 MavenCentral 组件是不是“危险”

【英文标题】：Determine whether a MavenCentral component is "dangerous"确定 MavenCentral 组件是否“危险”

【发布时间】：2017-08-21 03:11:36

【问题描述】：

MavenCentral 包含很多工件。其中一些不应该使用，因为它们有严重的错误，例如威胁安全。

我知道 Nexus Firewall 提供了一项昂贵的服务来分析这些工件。是否有其他方法可以提供（至少一点）针对此类漏洞的保护？

【问题讨论】：

好吧，您最好的选择可能是了解您自己使用的组件。毕竟是你知道哪些正在被使用以及你如何使用它们。我假设更易受攻击/暴露的组件提供了一些方法来发布已知漏洞和修复，至少这是我们与更通用的安全委员会一起监控的内容。

@Thomas 谢谢，我应该更清楚一点：我们公司使用的外部 jar 有 1000 多个。其中大部分来自 MavenCentral。我想编写一个自动检查，查看这 1000 多个罐子（以及将来添加的所有罐子），以提示我是否应该使用这些罐子。可以通过 Maven 获取许可，但也应考虑其他信息（如安全性）。

【参考方案1】：

OWASP dependency check 针对公开披露的漏洞检查依赖关系，并且是免费的。

【讨论】：

听起来不错，但我仍在为公司代理而苦苦挣扎。一旦找到运行依赖项检查的方法，我就会接受答案。

还有一些较小的项目：victi.ms/client.html。 OWASP 提到了它。它仅适用于 Java。关于页面状态The victims database is primarily maintained by the Red Hat Security Response Team,... - victi.ms/about.html