码头安全扫描检测7.4.1级中的漏洞

Question

使用gradle 7.4.1创建一个停靠映像会触发安全扫描，显示漏洞CVE-2020-36518。如何更新gradle包中的这个特定jar文件？

Answer 1

我只想拒绝安全问题，解释说不可能利用该漏洞，因为Gradle构建在受控输入上独立运行，任何潜在攻击者都无法访问该漏洞。

(当然，假设情况是这样的，而且您没有一个定制的Gradle插件，它使用Jackson从Gradle类路径读取不受信任的JSON文档。但即使如此，你所冒的风险就是在构建中拒绝服务。)

在外部工具中摆弄jar文件很容易导致以后很难调试的问题。但是如果你愿意的话，你可以为他们创建一个问题，询问他们是否可以用杰克逊版本来避免像这样的安全扫描带来不必要的噪音。有一个这里的例子。