Android CVE检查

Question

我想解决我的项目中的每一个CVE问题。我使用的是org.owasp.dependencycheck插件，但即使是在一个空项目上，它也会返回很少的CVE：

bcprov-jdk15on-1.56.jar: ids:(org.bouncycastle:bcprov-jdk15on:1.56, cpe:/a:bouncycastle:legion-of-the-bouncy-castle-java-crytography-api:1.56) : CVE-2017-13098, CVE-2018-1000180, CVE-2018-1000613
builder-3.3.1.jar: desugar_deploy.jar: ids:(com.google.guava:guava:21.0, cpe:/a:google:guava:21.0) : CVE-2018-10237
intellij-core-26.3.1.jar (shaded: com.google.protobuf:protobuf-java:2.6.1): ids:(cpe:/a:google:protobuf:2.6.1, com.google.protobuf:protobuf-java:2.6.1) : CVE-2015-5237
intellij-core-26.3.1.jar (shaded: org.picocontainer:picocontainer:1.2): ids:(org.picocontainer:picocontainer:1.2, cpe:/a:site_documentation_project:site_documentation:1.2) : CVE-2015-4370

此结果来自空项目。我的build.gradle

apply plugin: 'com.android.application'
apply plugin: 'kotlin-android'
apply plugin: 'kotlin-android-extensions'
apply plugin: 'org.owasp.dependencycheck'

android {
    compileSdkVersion 28
    defaultConfig {
        applicationId "com.example.testcve"
        minSdkVersion 21
        targetSdkVersion 28
        versionCode 1
        versionName "1.0"
        testInstrumentationRunner "android.support.test.runner.AndroidJUnitRunner"
    }
    buildTypes {
        release {
            minifyEnabled false
            proguardFiles getDefaultProguardFile('proguard-android.txt'), 'proguard-rules.pro'
        }
    }
}

dependencyCheck {
    failBuildOnCVSS 0
}

check.dependsOn dependencyCheckAnalyze

dependencies {
    implementation fileTree(dir: 'libs', include: ['*.jar'])
    implementation"org.jetbrains.kotlin:kotlin-stdlib-jdk7:$kotlin_version"
    implementation 'com.android.support:appcompat-v7:28.0.0'
    implementation 'com.android.support.constraint:constraint-layout:1.1.3'
    testImplementation 'junit:junit:4.12'
    androidTestImplementation 'com.android.support.test:runner:1.0.2'
    androidTestImplementation 'com.android.support.test.espresso:espresso-core:3.0.2'
}

和：

buildscript {
    ext.kotlin_version = '1.3.21'
    repositories {
        google()
        jcenter()
        mavenLocal()
    }
    dependencies {
        classpath 'com.android.tools.build:gradle:3.3.1'
        classpath "org.jetbrains.kotlin:kotlin-gradle-plugin:$kotlin_version"
        classpath "org.owasp:dependency-check-gradle:4.0.0"
    }
}

allprojects {
    repositories {
        google()
        jcenter()
    }
}

task clean(type: Delete) {
    delete rootProject.buildDir
}

一切都是最新的。

有什么办法解决这些CVE吗？

Answer 1

这些文件由Android构建系统使用。这就是为什么即使是“空的”项目也会被报告的原因。

检查依赖关系树以查看这些文件的使用位置：./gradlew app:dependencies

...
lintClassPath - The lint embedded classpath
\--- com.android.tools.lint:lint-gradle:26.4.1
     +--- com.android.tools:sdk-common:26.4.1
     |    +--- com.android.tools:sdklib:26.4.1
     |    |    +--- com.android.tools.layoutlib:layoutlib-api:26.4.1
     |    |    ...
     |    +--- com.android.tools.ddms:ddmlib:26.4.1 (*)
     |    +--- org.bouncycastle:bcpkix-jdk15on:1.56
     |    |    \--- org.bouncycastle:bcprov-jdk15on:1.56   <--
     |    +--- org.bouncycastle:bcprov-jdk15on:1.56   <--
...

在本例中，它是com.android.tools:sdk-common。这是一个构建库，由其他Android工具库(https://mvnrepository.com/artifact/com.android.tools/sdk-common/26.4.1)使用。只要Google不更新这种依赖，你就无能为力了。

虽然报告的漏洞被标记为严重的，但在这里对您的应用程序并不是那么令人担忧，因为该文件由构建工具使用，而不是由您的应用程序使用。

如果在releaseCompileClasspath部分中报告了这些文件，则它们应该得到修复！

如果你想仔细检查这些文件没有编译到你的应用程序中，可以使用Android Studio的Analyze APK功能。

Answer 2

因此，Carsten的答案是绝对正确的，但它没有解释如何在CI构建中处理这一问题。

您有两个选项，这两个选项都有效。您可以从依赖项检查中排除lintClassPath，或者将releaseCompileClasspath定义为唯一要检查的模块配置。我建议使用第一种方法，因为如果碰巧添加了额外的模块配置，您可能想要检查它们(或者还想检查debug/test类路径)。

不包括lintClassPath

每个模块(例如您的app/build.gradle)：

// ... android and dependency configuration omitted
apply plugin: 'org.owasp.dependencycheck'
// ...

dependencyCheck {
    skipConfigurations += 'lintClassPath'
}

对于所有模块(在根build.gradle中)：

// ... buildscript, etc. omitted
allprojects {

    // ... repository configuration omitted
    apply plugin: 'org.owasp.dependencycheck'

    dependencyCheck {
        skipConfigurations += 'lintClassPath'
    }
}

仅包括releaseCompilepath

简单地用scanConfigurations += 'releaseCompileClasspath'替换skipConfigurations += 'lintClassPath'。仅供参考，这些选项是互斥的，因此您只能选择其中一种方法。

Answer 3

我通过将lintClassPath添加到依赖项来解决这个问题

dependencies {
    ...
    lintClassPath "org.bouncycastle:bcpkix-jdk15on:1.64"
}

现在已经很晚了，但我希望这对你有帮助。