подавление проверки зависимостей owasp для конкретной записи CVE на протяжении всего проекта

Question

Я пытаюсь отключить запись CVE, которая не относится к нашему проекту.Я попробовал метод подавления ниже, я пытаюсь подавить ложные срабатывания в DLL, находящейся в любой папке в «Mgmt»

<?xml version="1.0" encoding="UTF-8"?>
<suppressions xmlns="https://jeremylong.github.io/DependencyCheck/dependency-suppression.1.2.xsd">
  <suppress>
    <notes><![cdata[
    this suppresses a specific cve for any *.dll in any directory.
    ]]></notes>
    <filepath regex="true">.*\Mgmt\.dll</filepath>
    <cve>cve-2014-9152</cve>
  </suppress>
</suppressions>

Но я не могу подавить его.Однако с использованием shal1 я могу сделать подавление.Поскольку в нем более 80 записей, подавление с помощью sha1 не является хорошим вариантом.

Answer 1

Я попытался предоставить все cpe, соответствующие записям CVE.Тем самым не предоставляя индивидуального ша1.

<suppress>
    <notes><![CDATA[
    file name: temp.dll
    ]]></notes>
    <cpe>cpe:/a:microsoft:services</cpe>
    <cpe>cpe:/a:services_project:services</cpe>
    <cpe>cpe:/a:app_project:app</cpe>
    <cpe>CVE-2014-9152</cpe>
</suppress>