Docker 安全扫描检测到 gradle 7.4.1 中的漏洞

Question

使用 gradle 7.4.1 创建 docker 映像会触发安全扫描，显示漏洞 CVE-2020-36518。如何更新 gradle 包中的这个特定 jar 文件？

Answer 1

我只是拒绝这个安全问题，并解释说不可能利用该漏洞，因为 Gradle 构建在受控输入上隔离运行，并且任何潜在攻击者都无法访问。

（当然，假设是这种情况，并且您没有自定义 Gradle 插件来使用 Jackson 从 Gradle 类路径读取不受信任的 JSON 文档。但即便如此，您所面临的风险也只是构建中的拒绝服务.)

在外部工具中摆弄 jar 文件很容易导致以后难以调试的问题。但如果你愿意，你可以为他们创建一个问题，询问他们是否可以撞上杰克逊版本以避免像这样的安全扫描带来不必要的噪音。 这里有一个示例。