创建等级为7.4.1的docker映像会触发安全扫描,显示漏洞CVE-2020-36518。如何更新gradle包中的这个特定jar文件?
我只是拒绝这个安全问题,解释说不可能利用该漏洞,因为Gradle构建在受控输入上独立运行,任何潜在攻击者都无法访问。
(当然,假设是这样的话,并且你没有一个自定义的Gradle插件,可以使用Jackson从Gradle类路径读取不受信任的JSON文档。但即使这样,你所面临的风险也只是在构建中拒绝服务。(
在外部工具中摆弄jar文件很容易导致以后难以调试的问题。但如果你愿意,你可以给他们制造一个问题,询问他们是否可以升级杰克逊版本,以避免像这样的安全扫描产生不必要的噪音。这里有一个例子。
javascript python java c# php android html jquery c++ css ios sql mysql arrays asp.net json python-3.x ruby-on-rails .net sql-server django objective-c excel regex ruby linux ajax iphone xml vba spring asp.net-mvc database wordpress string postgresql wpf windows xcode bash git oracle list vb.net multithreading eclipse algorithm macos powershell visual-studio image forms numpy scala function api selenium