CVE-проверка Android
Я хочу решить все проблемы CVE из моего проекта. Я использую плагин org.owasp.dependencycheck, но даже в пустом проекте он возвращает несколько CVE:
bcprov-jdk15on-1.56.jar: ids:(org.bouncycastle:bcprov-jdk15on:1.56, cpe:/a:bouncycastle:legion-of-the-bouncy-castle-java-crytography-api:1.56) : CVE-2017-13098, CVE-2018-1000180, CVE-2018-1000613
builder-3.3.1.jar: desugar_deploy.jar: ids:(com.google.guava:guava:21.0, cpe:/a:google:guava:21.0) : CVE-2018-10237
intellij-core-26.3.1.jar (shaded: com.google.protobuf:protobuf-java:2.6.1): ids:(cpe:/a:google:protobuf:2.6.1, com.google.protobuf:protobuf-java:2.6.1) : CVE-2015-5237
intellij-core-26.3.1.jar (shaded: org.picocontainer:picocontainer:1.2): ids:(org.picocontainer:picocontainer:1.2, cpe:/a:site_documentation_project:site_documentation:1.2) : CVE-2015-4370
Этот результат из пустого проекта. Мой build.gradle:
apply plugin: 'com.android.application'
apply plugin: 'kotlin-android'
apply plugin: 'kotlin-android-extensions'
apply plugin: 'org.owasp.dependencycheck'
android {
compileSdkVersion 28
defaultConfig {
applicationId "com.example.testcve"
minSdkVersion 21
targetSdkVersion 28
versionCode 1
versionName "1.0"
testInstrumentationRunner "android.support.test.runner.AndroidJUnitRunner"
}
buildTypes {
release {
minifyEnabled false
proguardFiles getDefaultProguardFile('proguard-android.txt'), 'proguard-rules.pro'
}
}
}
dependencyCheck {
failBuildOnCVSS 0
}
check.dependsOn dependencyCheckAnalyze
dependencies {
implementation fileTree(dir: 'libs', include: ['*.jar'])
implementation"org.jetbrains.kotlin:kotlin-stdlib-jdk7:$kotlin_version"
implementation 'com.android.support:appcompat-v7:28.0.0'
implementation 'com.android.support.constraint:constraint-layout:1.1.3'
testImplementation 'junit:junit:4.12'
androidTestImplementation 'com.android.support.test:runner:1.0.2'
androidTestImplementation 'com.android.support.test.espresso:espresso-core:3.0.2'
}
и:
buildscript {
ext.kotlin_version = '1.3.21'
repositories {
google()
jcenter()
mavenLocal()
}
dependencies {
classpath 'com.android.tools.build:gradle:3.3.1'
classpath "org.jetbrains.kotlin:kotlin-gradle-plugin:$kotlin_version"
classpath "org.owasp:dependency-check-gradle:4.0.0"
}
}
allprojects {
repositories {
google()
jcenter()
}
}
task clean(type: Delete) {
delete rootProject.buildDir
}
Все обновлено.
Любые идеи, как решить эти CVE?
Ответы 3
Эти файлы используются системой сборки Android. Поэтому о них пишут даже на «пустом» проекте.
Проверьте дерево зависимостей, чтобы узнать, где используются эти файлы: ./gradlew app:dependencies.
...
lintClassPath - The lint embedded classpath
\--- com.android.tools.lint:lint-gradle:26.4.1
+--- com.android.tools:sdk-common:26.4.1
| +--- com.android.tools:sdklib:26.4.1
| | +--- com.android.tools.layoutlib:layoutlib-api:26.4.1
| | ...
| +--- com.android.tools.ddms:ddmlib:26.4.1 (*)
| +--- org.bouncycastle:bcpkix-jdk15on:1.56
| | \--- org.bouncycastle:bcprov-jdk15on:1.56 <--
| +--- org.bouncycastle:bcprov-jdk15on:1.56 <--
...
В данном примере это com.android.tools:sdk-common. Это библиотека сборки, используемая другими библиотеками инструментов Android (https://mvnrepository.com/artifact/com.android.tools/sdk-common/26.4.1). Пока Google не обновляет эту зависимость, вы мало что можете с этим поделать.
Несмотря на то, что сообщаемые уязвимости помечены как критические, ваше приложение здесь не вызывает беспокойства, поскольку файл используется инструментами сборки, а не вашим приложением.
Если о файлах сообщается в разделе releaseCompileClasspath, то они должны быть исправлены!
Используйте функцию Analyze APK Android Studio, если вы хотите дважды проверить, что эти файлы не скомпилированы в ваше приложение.
Я решаю проблему, добавляя lintClassPath в зависимости
dependencies {
...
lintClassPath "org.bouncycastle:bcpkix-jdk15on:1.64"
}
Уже поздно, но я надеюсь, что это поможет вам.
Таким образом, ответ от Carsten абсолютно правильный, но он не объясняет, как справиться с этим, например, в CI Builds.
У вас есть два варианта, оба работают. Вы можете исключить lintClassPath из проверки зависимостей или определить releaseCompileClasspath как единственную конфигурацию модуля для проверки. Я бы порекомендовал первый, поскольку вы, вероятно, захотите проверить дополнительные конфигурации модулей, если они будут добавлены (или вы также хотите проверить путь к классам отладки/тестирования).
Исключая lintClassPath
На модуль (например, ваш app/build.gradle):
// ... android and dependency configuration omitted
apply plugin: 'org.owasp.dependencycheck'
// ...
dependencyCheck {
skipConfigurations += 'lintClassPath'
}
Для всех модулей (в корне build.gradle):
// ... buildscript, etc. omitted
allprojects {
// ... repository configuration omitted
apply plugin: 'org.owasp.dependencycheck'
dependencyCheck {
skipConfigurations += 'lintClassPath'
}
}
Включая только releaseCompilepath
Просто замените skipConfigurations += 'lintClassPath' на scanConfigurations += 'releaseCompileClasspath'. К вашему сведению, эти варианты являются взаимоисключающими, поэтому вам нужно выбрать только один из этих методов.
Что такое команда для запуска только зависимостей для releaseCompileClasspath? ./gradlew dependencyCheckAnalyze, а затем?