传递依赖占bug的95%

最新推荐文章于 2025-11-30 22:51:32 发布
翻译 最新推荐文章于 2025-11-30 22:51:32 发布 · 102 阅读 · 0
文章标签:

#安全 #网络

Endor Labs的一份新报告指出,几乎所有(95%)开源漏洞都存在于可传递或间接依赖关系中,该报告强调了在这些环境中补救的挑战。

为了更好地理解开源环境中依赖关系的安全影响,Endor Labs分析了Census II报告,其中包含了当今应用程序中使用的最流行的开源组件列表。

它对1833个包进行了描述,并从其他来源(包括图书馆)获取了数据。io、Maven和Maven Central编译依赖管理状态报告。

作为一种加快上市时间的方式,开源越来越受到开发人员的青睐。

然而,正如报告所解释的那样,DevOps团队实际上只选择了一小部分(5%)所谓的软件依赖项。大多数被自动拉入代码库,称为传递依赖/间接依赖。

这可能会增加额外的风险,如果它们没有全部映射,任何相关的错误都得到了补救。

Endor Labs联合创始人兼首席执行官Varun Badhwar表示:“在这种环境下,开源软件是我们关键基础设施的支柱,但即使是资深开发人员和高管也经常惊讶地发现,现代应用程序中80%的代码来自现有的OSS。”

这是一个巨大的舞台,但它在很大程度上被忽视了。来自第9站的第一份报告清楚地说明了这方面问题的严重性,以及实质性解决办法的必要性。如果开放源代码的重用要发挥它的潜力,那么安全需要移到优先级列表的首位。

报告显示,普查II中列出的一半(50%)软件包甚至在2022年都没有发布,30%的软件包在2018年进行了最后一次更新,这表明它们更有可能包含未修复的漏洞。

报告称,即使开发人员使用最新版本的开源包,也有32%的几率包含漏洞。

报告认为,可达性是优先考虑可传递漏洞的最重要标准,因为这是利用的前兆。

Sonatype在2022年早些时候发布的另一份报告称,在过去一年中,影响开源项目的每7个错误中就有6个是由可传递依赖造成的。

卡饭科技
关注
bugfix】maven deploy jar包到私服后,依赖没法传递
opi
02-26 2203
1.现象 发布了一个新的jar包,引入到别的项目后,新jar包的依赖没有获取到,导致需要一一引入依赖 2.原因 maven在传递依赖时,是根据该jar包所在的仓库目录下的同名pom文件找到其依赖的。 上述问题就是在发布时,没有生成这样的同名.pom文件 3.解决方案 在deploy时,加一个选项指定pom文件-DpomFile=pom.xml mvn deploy:deplo...
springboot 覆盖起步依赖引入的传递依赖(读书摘抄)
阿昊的博客
02-23 1275
说到底,起步依赖和你项目里的其他依赖没什么区别。也就是说,你可以通过构建工具中的 功能,选择性地覆盖它们引入的传递依赖的版本号,排除传递依赖,当然还可以为那些Spring Boot 起步依赖没有涵盖的库指定依赖。 以Spring Boot的Web起步依赖为例,它传递依赖了Jackson JSON库。如果你正在构建一个生 产或消费JSON资源表述的REST服务,那它会很有用。但是,要构建传统的面向人类用户的Web 应用程序,你可能用不上Jackson。虽然把它加进来也不会有什么坏处,...
依赖传递的三种方式
天行健,君子以自强不息;地势坤,君子以厚德载物。
11-10 1160
点击上方「蓝字」关注我们依赖是可以传递的,A对象依赖B对象,B对象又依赖C对象,C对象又依赖D对象......生生不息,依赖不止,要记住一点:只要做到抽象依赖,即使多层的依赖传递也无所畏惧...
maven3.0.3编译报错,提示找不到传递依赖
weiguang1017的专栏
06-02 479
传递依赖,编译时报找不到此依赖(官网bug记录见MNG-5121)---https://issues.apache.org/jira/browse/MNG-5121 现象: 用户本地编译没问题,job编译不通过,示(此bug在3.0.4版本已修复,用户本地安装的很可能是3.0.5版本maven) 解决办法: 把那些找不到的传递依赖在pom.xml再显式定义一遍依赖
测试之bug管理
ZZ20241122的博客
12-09 1964
bug管理工具——禅道。
【Gradle】(三)详细聊聊依赖管理:坐标、依赖配置、依赖传递依赖冲突
积木成林,聚沙成塔
07-09 3322
本文着重针对 Gradle 的依赖管理展开了全方位且极为详尽的介绍。在此过程中,清晰明确地提及了诸如坐标、依赖的基础概念、依赖配置、依赖传递还有依赖冲突等相关特性。在充分熟知并掌握了这些特性之后,于后续开展的工作当中,就能够更加精确、细致地对依赖进行管理,并且可以妥善、有效地处理由依赖冲突所引发的各种各样的问题。
Java常见Bug汇总
热门推荐
大厂全栈码农
08-26 1万+
Java是一门广泛使用的编程语言,其强大的生态系统和严格的语法规则为开发者提供了高度可靠的开发环境。然而,即便如此,开发者在编写代码时仍可能会遇到各种Bug。以下是一些常见的Java Bug及其原因分析。
UML实战-BUG管理系统
明戈戈的博客
06-07 2701
根据 UML建模的过程来进行一个完整系统的设计–Bug 管理系统。下面是一个标注 UML 设计过程的参考。需求分析:用例图。系统分析:分析业务规则–状态图。系统分析:分析业务流程–活动图。系统设计:设计静态结构–类图和包图。系统设计:Action类被调用关系–序列图。系统设计:用户调用 Action类的过程–协作图。系统架构:组件图和部署图。编码实现。
Maven---scope和依赖传递的介绍
佛系程序员
02-06 1578
做了开发几年了,项目中Maven没少用,却几乎没有深入了解过,一直把它作为管理各种依赖jar包的工具,平时偶尔有jar包冲突,也是百度解决。今天就好好理一理pom.xml里的一些标签如scope和option相关的作用。 本文的内容更多的是参考了《Maven实战》这本书,所以有些内容或例子会以此书为模板。 scope的作用 这个scope在书中的解释为依赖范围,大意是说在每套代码在编译,运行,以及测试时都会有一套自己的classpath,而每个依赖的scope就是指定此依赖在每一个classpath下是否会
Bug交流网站(需求文档)
weixin_45769113的博客
08-30 2949
开源软件社区依托于广大开发者的贡献和合作,不断推动技术的进步和创新。Bug交流网站作为一个开放的平台,可以吸引更多的开发者参与到开源项目中,共同解决问题,改进软件,并且为其他人提供更好的使用体验。然而,在软件开发的过程中,经常会遇到各种各样的Bug,这些Bug可能会导致程序的崩溃、功能异常或者安全漏洞等问题。(1)问卷调查法:在一定的理论框架指导下,根据研究目的设计调查问卷,设置开发式问题以及封闭式问题的问卷,向用户进行线上的问卷调查模式,并对被调查者进行调查的资料收集和资料分析,从而确保功能的齐全。
精选资源
bug单状态流程图.pdf
09-16
- 问题单流转:指bug报告在团队成员间的传递过程。 - 处理bug测试经理:在某些情况下,测试经理需要对问题单进行处理,例如决定问题单的优先级和重要性。 - 审核不通过:如果问题单在审核阶段没有通过,它将被返回...
Java依赖maven-3.9.9
11-05
当构建项目时,Maven会自动下载并管理这些依赖项,包括它们的依赖项(传递依赖)。 maven-3.9.9是Maven项目的一个版本,它包含了许多改进和新特性。该版本在之前的版本基础上做了性能改进,修复了已知的bug,并且...
Java项目依赖管理混乱:版本冲突与传递依赖的深度剖析与解决方案
Deng945201314的博客
08-02 807
Java项目的依赖管理是一个系统性工程,需要从架构设计、工具选择、流程规范等多个维度综合施策。版本冲突和传递依赖问题虽然复杂,但通过实施依赖隔离、版本统一、工具强化和流程治理等措施,可以显著降低其影响。随着AI技术和容器化的发展,未来的依赖管理将更加智能化和自动化,但当前开发者仍需掌握扎实的依赖管理技能,以应对日益复杂的软件生态。只有建立科学的依赖管理体系,才能确保Java项目在长期演进中保持健康和可维护性。
Python 3.7 环境下安装 safetensors 依赖时出现版本不兼容及找不到 puccinialin 包的问题,如何解决?
**My Coding Family**
08-03 1753
🏆本文收录于 《全栈Bug调优(实战版)》 专栏,该专栏专注于分享我在真实项目开发中遇到的各类疑难Bug及其深层成因,并系统提供高效、可复现的解决思路和实操方案。无论你是刚入行的新手开发者,还是拥有多年项目经验的资深工程师,本专栏都将为你提供一条系统化、高质量的问题排查与优化路径,助力你加速成长,攻克技术壁垒,迈向技术价值最大化与职业发展的更高峰🚀!
MySQL 的mysql_secure_installation安全脚本执行过程介绍
2509_94231173的博客
11-30 617
1.设置 MySQL root 用户密码。2.删除匿名用户。3.禁止 root 用户远程登录。4.删除测试数据库。5.重新加载权限表。
【技术深度】【安全】Remote Password Protection:一套密码永不上传的登录协议方案(含盲签 + Pairing + Crypto 模块)
ZFJ_张福杰
11-30 747
本文提出了一套"密码永不上传"的高安全登录协议方案Remote Password Protection。该方案通过密码盲化、双线性映射和主密钥混合三项核心技术,确保服务端无法获取用户密码及哈希值,即使数据库泄露也无法暴力破解。系统包含客户端、业务服务器和密码服务(Crypto)三个角色,Crypto模块通过硬件安全模块(HSM)保护主密钥。文章详细阐述了基础注册登录流程、增强版(加入Token和安全通道)以及旧系统升级方案三种实现方式,并提供了完整的数学公式推导。该方案适用于交易所、银行
Java安全基础——JNI安全基础
a1001086的博客
11-29 487
Java通过JNI实现与C/C++的交互,可在Java中调用本地代码。具体步骤包括:1)声明native方法;2)加载动态链接库(.dll/.so);3)使用javac生成头文件;4)实现C/C++函数;5)编译生成动态库;6)在Java中调用。JNI类型对应C++类型,基本类型直接使用,引用类型为对象指针。处理字符串时需注意内存管理,使用GetStringUTFChars获取字符串指针,最后调用ReleaseStringUTFChars释放资源。该方法可扩展Java功能,但需考虑跨平台和安全问题。
SSH 深度实战:从基础到高级安全配置
最新发布
1024
11-30 432
本文全面介绍了 SSH 协议的核心技术与安全实践。主要内容包括:SSH 基础连接与密钥认证管理(RSA/ECDSA/ED25519 密钥生成与分发);服务器端安全配置(端口更改、root 登录禁用、Fail2Ban 防护);高级功能如端口转发(本地/远程/SOCKS 代理)、连接复用和代理转发;以及安全的文件传输方法(SCP/SFTP)。
【探索实战】监控、安全与边缘场景的深度落地
行者的博客
11-29 869
Kurator作为一站式分布式云原生平台,在统一监控、安全策略和边缘计算场景中展现出显著优势。文章从监控体系搭建、安全策略实施和边缘计算实战三个维度,分享了Kurator的进阶使用经验。通过Thanos实现跨集群监控聚合,Grafana提供全局可视化,将巡检时间从30分钟缩短至5分钟;利用Kyverno集成实现统一安全策略管理,大幅降低合规成本;在制造业边缘场景中,Kurator的离线部署和弱网同步能力解决了车间网络不稳定问题,使边缘集群部署时间缩短90%。Kurator有效降低了分布式云原生管理复杂度,是
PHP源码实现的bug反馈系统功能详解
由于代码片段中包含一些未定义的自定义函数(如`goto`, `set_supetype`, `inserttable`, `updatetable`, `deletetable`等),这表明系统可能依赖于一个特定的代码库或框架。这要求开发者需要了解该框架的内部机制...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值