安全工程师为啥关注maven依赖
log 4j事件之后,大家开始更加关注开源组件安全漏洞这个事。纷纷引入SCA 软件成分分析工具来识别项目中存在的开源组件和漏洞。
在sca工具扫描之后,会报出一大堆组件,review这个事就是安全团队投入时间来研判了。
对maven项目,工具会报出直接依赖,间接依赖,一层一层又一次,子子孙孙。。。。
那么是否工具报出的所有组件都是产品sbom的一部分呢?哪些子孙可以忽略了。。。
maven依赖机制
项目A 依赖了B组件,用的x版本
项目A 同时依赖了C组件,C组件又依赖了B的Y版本,
请问 A项目依赖了B组件的哪些版本?x or Y or both?
最近原则
当遇到多个版本作为依赖关系时,将选择项目的哪个版本。Maven 选择“最接近的定义”。也就是说,它使用依赖关系树中与项目最接近的依赖项的版本。您始终可以通过在项目的 POM 中显式声明版本来保证版本。请注意,如果两个依赖项版本在依赖项树中的深度相同,则第一个声明优先。
A、B 和 C 的依赖关系定义为 A -> B -> C -> D 2.0 和 A -> E -> D 1.0,然后在构建 A 时使用 D 1.0,因为从 A 到 D ,走 E 的路径更短。
如果一定要用D2.0 怎么办呢,构造一条新的路径,让到D2.0的路径最短,强制用D2.0
Excluded dependencies
如果X依赖于Y,Y依赖于Z, X的作者可以把Z排除在外, 用exclusion
下图就是把io.netty排除在外了
所以 加入netty版本有漏洞, 除了升级,也可以排除
option
如果项目Y依赖于项目Z,项目Y的所有者可以使用“Optional”元素将项目Z标记为可选依赖。当项目X依赖于项目Y时,X将只依赖于Y而不依赖于Y的可选依赖项Z。项目X的所有者可以根据自己的选择显式地添加对Z的依赖项。可以理解为默认排除掉了
以上
