Динамическая оценка кода: небезопасная десериализация (Spring Boot 2) - как избежать проблемы фортификации, связанной с приводом, или это ложное срабатывание?

Question

Я использую приведенную ниже зависимость от привода

<dependency>
    <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-starter-actuator</artifactId>
</dependency>

с пружинной загрузкой 2,

<parent>
    <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-starter-parent</artifactId>
    <version>2.0.5.RELEASE</version>
</parent>

Любые комментарии об уязвимостях, связанных с фортификацией, или у нас есть какие-либо основания для полученияложно-положительный в отношении вопроса об укреплении.

Answer 1

Я подозреваю, что проблема поднимается с помощью Fortify не из-за самой spring-boot-starter-actuator, а из-за ее транзитивной зависимости от Джексона, которая содержит десериализацию уязвимости с ненадежными данными .Однако для того, чтобы приложение было уязвимым, нестандартные и, возможно, довольно необычные обстоятельства должны быть правдой.Вы можете узнать больше об этих обстоятельствах в этом блоге от автора Джексона.Активатор Spring Boot не разрешает обработку полиморфных типов, поэтому, если предупреждение Fortify связано с Джексоном, это ложное срабатывание.

Уязвимость была исправлена ​​ в Jackson 2.9.7 путем блокировки.определенные классы от полиморфной десериализации.Spring Boot 2.0.6 и 2.1.0 используют Jackson 2.9.7 по умолчанию.