Я использую Maven Plugin из OWASP Dependency Check в проекте с несколькими модулями.Проверка зависимости OWASP определяет неправильные артефакты
Существует дополнительный модуль с artifactId«ссылки» и другой (я буду называть его«война») модуль с зависимостью от этого модуля. Оба имеют groupId"de.mygroup".
Когда я теперь запустить mvn dependency-check-maven:check я получаю следующее предупреждение:
links-5.0.0-SNAPSHOT.jar (cpe:/a:hot_links:hot_links:5.0.0, cpe:/a:links:links:5.0.0, de.mygroup:links:5.0.0-SNAPSHOT) : CVE-2006-7086
Как я понял это предупреждение, это ложный положительный результат, так как проверка зависимостей выглядит только для artifactId независимо groupId. Это верно?
Есть ли что-нибудь, что я могу сделать, чтобы сообщить плагину, который я использую? Но я думаю, что это должно определить это автоматически.
Я просмотрел исходный код плагина maven и в BaseDependencyCheckMojo.java:652 Я нашел dependencyNode.getArtifact().getId() Но это должно вернуть полные завершенные координаты артефактов. Поэтому я не понимаю, почему он нашел несколько «кандидатов», которые затем использует для поиска уязвимостей.
Любые предложения?
EDIT: Я только что протестировал с текущим master from GitHub, потому что я видел, что есть некоторые изменения в определении зависимостей. Предупреждение выше прошло. Но у меня есть третий модуль с artifactId«InDesign» (и groupId«de.mygroup»), и для этого я получаю это предупреждение:
indesign-5.0.0-SNAPSHOT.jar (cpe:/a:adobe:indesign:5.0.0, de.mygroup:indesign:5.0.0-SNAPSHOT) : CVE-2006-0525
Я думаю, что это та же проблема, но Я не понимаю, почему первое предупреждение исчезло, а второе все еще есть.