CVE到Java库的映射_Java_Maven_Security_Owasp

CVE到Java库的映射

java maven security

CVE到Java库的映射,java,maven,security,owasp,Java,Maven,Security,Owasp,有一个插件可以检查我的Java项目中的第三方依赖项是否存在已知漏洞。问题是，由于CVE不包含库的唯一标识符，这个插件有很多误报（很可能是误报）。例如，最近的Spring漏洞包含标识符cpe:2.3:a:pivotal_软件：Spring_框架：**（包括）4.3.0到（不包括）4.3.16的版本，很难映射到确切的Maven依赖关系。有关更多详细信息，请参见此 CVE和Maven依赖项之间是否存在一些可公开访问的映射，以允许更可靠的检查？我知道还有两个其他选项。按字母顺序：

有一个插件可以检查我的Java项目中的第三方依赖项是否存在已知漏洞。问题是，由于CVE不包含库的唯一标识符，这个插件有很多误报（很可能是误报）。例如，最近的Spring漏洞包含标识符

cpe:2.3:a:pivotal_软件：Spring_框架：**（包括）4.3.0到（不包括）4.3.16的版本

，很难映射到确切的Maven依赖关系。有关更多详细信息，请参见此

CVE和Maven依赖项之间是否存在一些可公开访问的映射，以允许更可靠的检查？

我知道还有两个其他选项。按字母顺序：