Новое для проверки сканирования.
Недавно мы обновились до версии Spring Boot 2.2.6. К сожалению, в сканировании Fortify я вижу «Небезопасную десериализацию» для Spring Boot Actuator Jar in pom. xml.
Изучил немного о причине root и обнаружил, что «jackson-databind» был проблемой и это исправлено в версиях 2.10+.
Ссылка:
Dynami c Оценка кода: небезопасная десериализация (Spring Boot 2) - как избежать проблемы фортификации, связанной с приводом, или Это ложное срабатывание?
https://blog.sonatype.com/jackson-databind-the-end-of-the-blacklist
https://medium.com/@cowtowncoder / jackson-2-10-features-cd880674d8a2
https://medium.com/@cowtowncoder / on-jackson-cves-dont-pani c Здесь есть то, что вам нужно знать 54cd0d6e8062
https://completosec.wordpress.com/2019/03/16/spring-boot-jackson-databind-frustration/
Изучил дерево зависимостей и обнаружил, что Jackson-databind разрешается до 2.10.3.
Но все же fortify сообщает об этой же проблеме.
Может кто-нибудь посоветовать здесь?