如何修复/替换Wiremock.net

Question

我们使用两个库WireMock.Net & WireMock.Net.RestClient，它们报告依赖检查器(NVD)中的漏洞。这两种语言都是1.5.9版。

​

​

下面列出了已发布的漏洞，其中大多数设置在中等，大约有两到三个被评为高级别&至少有一个被评为关键漏洞。

• CVE-2018-8909，
• CVE-2018-9116，
• CVE-2018-9117，
• CVE-2020-15258，
• CVE-2020-27853，
• CVE-2021-21301，
• CVE-2021-32665，
• CVE-2021-32666，
• CVE-2021-32755，
• CVE-2021-41093，
• CVE-2022-23625，
• CVE-2022-31009

我已经从早期版本升级了，该版本只有一个漏洞(与有线IOS有关)。升级引入了RestClient &显然，这是一组新的漏洞。由于WireMock.net 1.5.9是最新的稳定版本，因此没有进一步的升级选项，尽管在2.16之前的一些漏洞列表版本是问题所在。我怀疑这与Java或其他版本的WireMock混为一谈。

所以,

1. 我是否需要离开这个库，还是这些漏洞是假阳性的？
2. 我怎么才能离开这个图书馆？
3. 哪个库最适合取代这个库？

RestClient wiremock.net

谢谢你提前提供帮助。

Answer 1

我不能使用依赖项检查器(NVD)，但是在检查与ossindex.sonatype.org：https://ossindex.sonatype.org/component/pkg:nuget/WireMock.Net相关的链接时，我没有发现任何问题：

​

​

也在跑

 dotnet list package --vulnerable

没有显示任何问题：

PS C:\Dev\GitHub\WireMock.Net>  dotnet list package --vulnerable

The following sources were used:
   https://api.nuget.org/v3/index.json
   C:\Program Files (x86)\Microsoft SDKs\NuGetPackages\

The given project `WireMock.Net` has no vulnerable packages given the current sources.
The given project `WireMock.Net.Abstractions` has no vulnerable packages given the current sources.
The given project `WireMock.Net.RestClient` has no vulnerable packages given the current sources.
The given project `WireMock.Net.StandAlone` has no vulnerable packages given the current sources.

Answer 2

这些CVEs看起来很严肃，我会转换库。

一些替代方案包括莫克和X单位。