Fortify的抱怨基于Fortify的（由HP静态代码分析）报告的Maven的pom.xml外部模式

Question

，显然的pom.xml以下行是漏洞：

<project xmlns="http://maven.apache.org/POM/4.0.0" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" 
     xsi:schemaLocation="http://maven.apache.org/POM/4.0.0 http://maven.apache.org/maven-v4_0_0.xsd"> 
... 

因为

构建配置错误：外部Maven Dependency Repository：此Maven构建脚本依赖于外部源，这可能允许攻击者将恶意代码插入最终产品或控制bui ld机器。

这是有点误报检测，但根据我公司的偏执安全政策，我无法压制这一点。所以现在pom.xml看起来像这样：

<project> 
... 

它仍然是生成/编译正确。 IDE仍将文件识别为有效的Maven项目对象模型文件。没什么不好发生。

我想知道是否有任何可能的情况下，这种修改可能会导致一些真正的问题？例如，一些已知的工具或解析器不会将其识别为有效的Maven项目文件。谢谢。

Answer 1

我不认为他们已经解决了登录的issue，因为我没有看到任何提交。 即使我删除了<项目>标签，我仍然抱怨同样的问题在问题中解决。 注：我在版本6.21.0005，使用审计工作台，Fortify静态代码分析器软件。