最近遇到 CVE-2019-16869影响的 io.netty:netty组件的风险修复问题,但是 io.netty:netty全版本都有风险,无法通过升级的方式 解决组件的漏洞风…
关于Dependency CheckDependency-Check 是一款软件组合分析 (SCA) 工具,可尝试检测项目依赖项中包含的公开披露的漏洞。它通过确定给定依赖项是否存在…
漏洞简介漏洞名称:证书验证漏洞漏洞编号:CVE-2022-22885漏洞类型:CWE-295 证书验证不正确漏洞概述该库的HttpRequest类默认的HostnameVerifi…
依赖坐标漏洞风险——SnakeYAML 代码问题漏洞CNNVD-202212-1820 CVE-2022-1471漏洞描述 SnakeYAML是一款基于Java的YAML解析器。S…
风险管理实践-对接组件库-安全管控流程引入管理1、从0到1:最初全量扫描 有风险的原则上全部出库。若风险组件为项目必须使用,项目组提交组件入库申请,或者 逐步推广 控增量、清存量,…
专栏·供应链安全数字化时代,软件无处不在。软件如同社会中的“虚拟人”,已经成为支撑社会正常运转的最基本元素之一,软件的安全性问题也正在成为当今社会的根本性、基础性问题。随着软件产业…