Black Duck 扫描程序标记不存在的 jQuery 2.0.0 库

Black Duck scanner flags non-existent jQuery 2.0.0 library

提问人:sam sergiy klok 提问时间:5/17/2023 最后编辑:isherwoodsam sergiy klok 更新时间:5/17/2023 访问量:174

问:

我使用 Synopsys Black Duck 扫描仪扫描了旧的 .Net 4.7.2 Web 应用程序。 它在库 jQuery 2.0.0 中发现高安全风险 但是,这个版本的jQuery库在这个项目中是不存在的,它已经升级到了jQuery 3.6.1。

如果我在Black Duck报告中单击“Source”,它会告诉我Microsoft jQuery Unobtrusive Validation 4.0.0将其称为“传递依赖”和“动态链接”,请参见下图。

Transitive Dependency

通过查看它,我看到 jQuery Unobtrusive Validation NuGet 包仅在未安装 jQuery 时安装 jQuery。通过查看包的代码,我发现它没有附带jQuery文件。 将此漏洞缓解为“误报”是否有效? 为什么 Black Duck 甚至会标记它?

jQuery 安全性 unobtrusive-validation 误报 blackduck

评论

答: 暂无答案

上一个:ASP.NET Core 6:具有客户端验证的自定义 vallidation 属性

下一个:为什么 JQuery Validate 在 ASP.NET Core MVC 中标记为默认必需的输入字段