3
,显然的pom.xml以下行是漏洞:Fortify的抱怨基于Fortify的(由HP静态代码分析)报告的Maven的pom.xml外部模式
<project xmlns="http://maven.apache.org/POM/4.0.0" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
xsi:schemaLocation="http://maven.apache.org/POM/4.0.0 http://maven.apache.org/maven-v4_0_0.xsd">
...
因为
构建配置错误:外部Maven Dependency Repository:此Maven构建脚本依赖于外部源,这可能允许攻击者将恶意代码插入最终产品或控制bui ld机器。
这是有点误报检测,但根据我公司的偏执安全政策,我无法压制这一点。所以现在pom.xml看起来像这样:
<project>
...
它仍然是生成/编译正确。 IDE仍将文件识别为有效的Maven项目对象模型文件。没什么不好发生。
我想知道是否有任何可能的情况下,这种修改可能会导致一些真正的问题?例如,一些已知的工具或解析器不会将其识别为有效的Maven项目文件。谢谢。