Как разрешить CVE в Spring-Batch-Core 4.0.1.RELEASE?

Question

Я заметил, что не могу создать проблему на github Spring-Batch и не могу создать тему на форуме Spring, поэтому меня перенаправили сюда.

У меня есть это в моем pom.xml файле, как описано в Руководство по пакетной обработке Spring.io

<dependency>
    <groupId>org.springframework.batch</groupId>
    <artifactId>spring-batch-core</artifactId>
    <version>4.0.1.RELEASE</version>
</dependency>

И когда я запускаю mvn dependency-check:check, я вижу эти проблемы

весна-ТХ-5.0.0.RELEASE.jar

• CVE-2018-1199 - обновить каркас пружины до последней версии 4.x

весна-партия-ядро-4.0.1.RELEASE.jar

• CVE-2014-0225 - обновить пружинный mvc - добавил его и последний 4.x
• CVE-2015-5211 - обновить Springframework 4.x
• CVE-2016-5007 - обновить Springframework 4.x
• CVE-2014-3578 - обновить Springframework 4.x
• CVE-2014-3625 - обновить Springframework 4.x

Я пробежал mvn dependency:build-classpath -Dmdep.outputFile=cp.txt Оскорбительные банки выше находятся в моем классе. Затем запустил 'mvn dependency: tree`, но не увидел оскорбительных файлов.

mvn dependency:tree 2>&1 | egrep -i 'batch-core|spring-tx'

Я попытался погуглить некоторые из основных CVE, в которых говорилось об обновлении spring-mvc, которых у меня даже нет в моем проекте, но я все равно явно определил его. Моя весенняя версия установлена ​​на последнюю версию 4.x, и даже обновление до 5.x все еще создает уязвимость, поскольку последняя версия spring-batch-core все еще уязвима.

Что-то не так в моем файле pom?

Answer 1

Для начала ни один из этих CVE не применяется непосредственно к Spring Batch или файлу spring-batch-core jar. Все они связаны с Spring Framework и Spring MVC. Кроме того, каждый из этих CVE был смягчен в указанных версиях исправлений.

Если вы подтвердили, что на вашем POM установлена ​​правильная, не подверженная уязвимости версия Spring Framework, это случай ложного срабатывания, и вам потребуется настроить любой инструмент, который вы используете для решения этой проблемы. Если артефакт, который вы создаете в результате процесса сборки, содержит уязвимую версию Spring Framework (или связанные компоненты), то у вас есть проблема с POM. Мы можем помочь, но нам нужно увидеть POM, чтобы сделать это.