【SCA 开源组件漏洞整改】记录遇到的问题

已于 2022-07-01 18:04:03 修改
阅读量2.4k 收藏 5
点赞数 1
文章标签: java 开发语言
于 2022-07-01 14:46:22 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41601960/article/details/125529975
版权

文章目录

SCA 开源漏洞整改

使用到的工具

  1. MavenRunHelper 插件
  2. Maven类库:用于查询引入的类库是否存在漏洞

MavenRunHelper 插件

打开项目里的 pom.xml 文件,就可以看到打开的 pom.xml 文件的左下角有一个 Dependency Analyzer 选项卡(如下图所示)
在这里插入图片描述
选择 “All Dependency as Tree”,输入想要搜索的依赖名称,在下方可以看到依赖被引用的依赖,点击 Jump to Source 就可以看到具体的信息了

Maven类库:用于查询引入的类库是否存在漏洞

在这里插入图片描述
在这里插入图片描述
如果发现该依赖存在漏洞,则换个版本或使用其它的依赖

操作及遇到的问题

将spring-cloud-netflix组件去除:如何将parent形式引入的父pom中去除或升级父pom中引入的依赖

spring-cloud-netflix1.3.0.RELEASE 存在漏洞,jar包引入路径为:

Source/xxx.war/WEB-INF/lib/spring-cloud-netflix-eureka-client-1.3.0.RELEASE.jar
Source/xxx.war/WEB-INF/lib/spring-cloud-netflix-eureka-client-1.3.0.RELEASE.jar/META-INF/maven/org.springframework.cloud/spring-cloud-netflix-eureka-client/pom.xml
Source/xxx.war/WEB-INF/lib/spring-cloud-netflix-core-1.3.0.RELEASE.jar
Source/xxx.war/WEB-INF/lib/spring-cloud-netflix-core-1.3.0.RELEASE.jar/META-INF/maven/org.springframework.cloud/spring-cloud-netflix-core/pom.xml

由此,可以看出:如果在项目中确实有使用到这两个jar包的内容,则升级到推荐版本或是最新版本;如果没有使用到的话,可以exclusion排除jar包

  1. spring-cloud-netflix组件其实并没有真正使用,只是被引入了,所以可以去掉
  2. 该组件在 父pom microframework-parent 中引入,而 microframework-parent 是使用 parent 形式引入的(如下所示),需要exclusion它的话,必须将 parent 标签 改成 dependency 的形式,才能进行exclusion
<parent>
	<groupId>com.xxxx.xxx/groupId>
	<artifactId>microframework-parent</artifactId>
	<version>0.1.0.29</version>
</parent>

经过尝试后发现,必须写成如下形式,<dependencyManagement> 中进行定义 microframework-parent (否则,idea右侧的maven Project 中展示的项目Dependencies会出现问题) ,在 <dependencies> 中进行实际的排除 (真实打包jar包中缺少-可以在左侧的External Libraries中观察到,运行报错)

<dependencyManagement>
	<dependencies>
		<dependency>
			<groupId>com.xxxx.xxx</groupId>
			<artifactId>microframework-parent</artifactId>
			<version>0.1.0.29</version>
			<type>pom</type>
			<scope>import</scope>
		</dependency>
	</dependencies>
</dependencyManagement>

<dependencies>
	<dependency>
		<groupId>com.xxxx.xxx</groupId>
		<artifactId>microframework-parent</artifactId>
		<version>0.1.0.29</version>
		<exclusions>
			<exclusion>
				<groupId>org.spring.framework.cloud</groupId>
				<artifactId>spring-cloud-starter-eureka</artifactId>
			<exclusion>
		<exclusion>
	</dependency>
</dependencies>

将poi 组件(4.1.2)升级为 5.2.2 版本 :java.lang.NoSuchFieldError:Factory

easyexcel3.1.1自带的poi和poi-ooxml是4.1.2版本的,排除这两个包,引入5.2.2版本的

<dependency>
	<groupId>com.alibaba</groupId>
	<artifactId>easyexcel</artifactId>
	<version>3.1.1</version>
	<exclusions>
		<exclusion>
			<artifactId>poi</artifactId>
			<groupId>org.apache.poi</groupId>
		</exclusion>
		<exclusion>
			<artifactId>poi-ooxml</artifactId>
			<groupId>org.apache.poi</groupId>
		</exclusion>
	</exclusions>
</dependency>

<dependency>
	<groupId>org.apache.poi</groupId>
	<artifactId>poi</artifactId>
	<version>5.2.2</version>
	<scope>compile</scope>
</dependency>

<dependency>
	<groupId>org.apache.poi</groupId>
	<artifactId>poi-ooxml</artifactId>
	<version>5.2.2</version>
	<scope>compile</scope>
</dependency>

然后就会出现如下所示的报错信息:

com.alibaba.excel.exception.ExcelAnalysisException:java.lang.NoSuchFieldError:Factory
	at com.alibaba.excel.analysis.ExcelAnalyserImpl.<init>(ExcelAnalyserImpl.java:61)~[easyexcel-core-3.1.1.jar:?]
	at com.alibaba.excel.ExcelReader.<init>(ExcelReader.java:27)~[easyexcel-core-3.1.1.jar:?]
	at com.alibaba.excel.read.builder.ExcelReaderBuilder.build(ExcelReaderBuilder.java:202) ~[easyexcel-core-3.1.1.jar:?]
	at com.alibaba.excel.read.builder.ExcelReaderBuilder.sheet(ExcelReaderBuilder.java:239)
[easyexcel-core-3.1.1.jar:?]
com.alibaba.excel.read.builder.ExcelReaderBuilder.sheet(ExcelReaderBuilder.java:227)
~[easyexcel-core-3.1.1.jar:?]
	at com.xxxxxxxxxxxxxxxxxx.asfservice.xxxxxxxxxImpl.singTreat(xxxxxAsfServicexxxxxxImpl.java:108) ~[classes/:0.1.0.29]
	at com.xxxx.xxx.service.impl.DefaultAbTreatservice.single(DefaultAbTreatservice.java:229) ~[xx-xx-x-1.2.1.0.jar:?]
	at com.xxxx.xxx.service.impl.DefaultAbTreatservice.singleTreat(DefaultAbTreatservice.java:76) ~[xx-xx-x-1.2.1.0.jar:?]
	at com.xxxx.xxx.service.impl.ThreadPoolAbMessageservice.sendExe(ThreadPoolAbMessageservice.java:86) ~[xx-xx-x-1.2.1.0.jar:?]
	at com.xxxx.xxx.schedule.DefaultInstanceRunnable.run(DefaultInstanceRunnable.java:99) ~[xx-xx-x-1.2.1.0.jar:?]
	at java.util.concurrent.ThreadPoolExecutor.runWorker(ThreadPoolExecutor.java:1149) ~[?:1.8.0_191]
	at java.util.concurrent.ThreadPoolExecutorsworker.run(ThreadPoolExecutor.java:624) ~[?:1.8.0_191]
	at java.lang.Thread.run(Thread.java:748) ~[?:1.8.0_191]
Caused by:
java.lang.NoSuchFieldError:Factory
	at org.apache.poi.xssf.model.StylesTable.readFrom(StylesTable.java:219)~[poi-ooxml-5.2.2.jar:5.2.2]
	at org.apache.poi.xssf.model.StylesTable.<init>(StylesTable.java:159)~[poi-ooxml-5.2.2.jar:5.2.2]
	at org.apache.poi.xssf.eventusermodel.XSSFReader.getstylesTable(XSSFReader.java:166)~[poi-ooxml-5.2.2.jar:5.2.2]
	at com.alibaba.excel.analysis.v07.XlsxSaxAnalyser.setstylesTable(XlsxSaxAnalyser.java:149)~[easyexcel-core-3.1.1.jar:?]
	at com.alibaba.excel.analysis.v07.XlsxSaxAnalyser.<init>(XlsxSaxAnalyser.java:106)~[easyexcel-core-3.1.1.jar:?]
	at com.alibaba.excel.analysis.ExcelAnalyserImpl.choiceExcelExecutor(ExcelAnalyserImpl.java:103)~[easyexcel-core-3.1.1.jar:?]
	at com.alibaba.excel.analysis.ExcelAnalyserImp.<init>(ExceLAnalyserImpl.java:55)~[easyexcel-core-3.1.1.jar:?]
	... 12 more

原因:poi-ooxml-schemas 和 poi-ooxml-lite 冲突

  1. 引入的 poi-ooxml 5.2.2 版本里使用到了 poi-ooxml-lite 5.2.2 依赖
  2. 5.0.0 版本起,原来的 poi-ooxml-schemas 改名为 poi-ooxml-lite
  3. easyexcel 3.1.1 中使用到了 poi-ooxml-schemas 依赖

maven clean问题:A required class was missing while executing org.apache.maven.plugins:3.1.0:clean:org/apache/maven/shared/utils/0s

maven clean时,遇到如下错误:

[ERROR] Failed to execute goal org.apache.maven.plugins:maven-clean-plugin:3.1.0:clean (default-compile) on project [项目名称]: Execution default-clean of goal org.apache.maven.plugins:maven-clean-plugin:3.1.0:cleanfailed: A required class was missing while executing org.apache.maven.plugins:3.1.0:clean:org/apache/maven/shared/utils/0s
[ERROR] --------------------------------------------------------------------------------
[ERROR] realm =    plugin>org.apache.maven.plugins:maven-clean-plugin:3.1.0
[ERROR] strategy = org.codehaus.plexus.classworlds.strategy.SelfFirstStrategy
[ERROR] urls[0] = file:/H:/Chandra/settings/maven/repository/org/apache/maven/plugins/maven-clean-plugin/3.1.0/maven-compiler-plugin-3.1.0.jar
[ERROR] urls[1] = file:/H:/Chandra/settings/maven/repository/org/codehaus/plexus/plexus-utils/1.1/plexus-utils-1.1.jar
[ERROR] Number of foreign imports: 1
[ERROR] import: Entry[import  from realm ClassRealm[maven.api, parent: null]]
[ERROR] ------------------------------------:org.apache.maven.plugins:3.1.0:clean:org/apache/maven/shared/utils/0s

解决步骤:

  1. 在pom.xml中 <plugins> 中插入:
    <plugin>           
	<groupId>org.apache.maven.plugins</groupId>
    <artifactId>maven-clean-plugin</artifactId>
    <version>3.0.0</version>
</plugin>
  2. 再次执行clean操作,正常完成clean操作

log4j 升级为 log4j2

<!-- add log4j2 version start-->
<dependency>
	<groupId>org.apache.loging.log4j</groupId>
	<artifactId>log4j-1.2-api</artifactId>
	<version>2.17.2</version>
	<exclusions>
		<exclusion>
			<artifactId>log4j-api</artifactId>
			<groupId>org.apache.loging.log4j</groupId>
		</exclusion>
	</exclusions>
</dependency>

<dependency>
	<groupId>org.apache.loging.log4j</groupId>
	<artifactId>log4j-slf4j-impl</artifactId>
	<version>2.17.2</version>
	<exclusions>
		<exclusion>
			<artifactId>log4j</artifactId>
			<groupId>log4j</groupId>
		</exclusion>
	</exclusions>
</dependency>

<dependency>
	<groupId>org.apache.loging.log4j</groupId>
	<artifactId>log4j-core</artifactId>
	<version>2.17.2</version>
	<exclusions>
		<exclusion>
			<artifactId>log4j-api</artifactId>
			<groupId>org.apache.loging.log4j</groupId>
		</exclusion>
	</exclusions>
</dependency>

<dependency>
	<artifactId>log4j-api</artifactId>
	<groupId>org.apache.loging.log4j</groupId>
</dependency>
<!-- add log4j2 version end-->

<!--delete log4j -->
<denpendency>
	<group>
</denpendency>
Chandra Chen
关注
  • 1
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
墨菲安全旗下开源组件安全检测产品murphysec
04-11
墨菲安全 是一家为您提供专业的软件供应链安全管理的科技公司,能力包括软件成分分析(SCA)、代码安全检测、开源组件许可证合规管理等,丰富的安全工具助您打造完备的软件开发安全能力(DevSecOps)。 公司核心团队...
SCA Diagrammer:服务组件架构图生成器-开源
05-14
大型BPEL或SOA应用程序可能具有许多难以理解的... 该项目基于服务组件体系结构(SCA)模型为应用程序生成图。 这主要已经在Oracle Fusion Middleware 11g应用程序中进行了测试,但是应该与其他BPEL或SOA框架一起使用。
java项目打成jar包、war包、部署到服务器
watermelonmelon_的博客
11-21 337
mvc项目 + Tomcat 部署到服务器 ; NoSuchFieldError: Factory java.lang.NoSuchFieldError: Factory at org.apache.poi.xwpf.usermodel.XWPFDocument.onDocumentRead(XWPFDocument.java:197);
poi 升级到 5.2.2 修改内容:
QQ2856639881的专栏
04-02 2067
poi从3.6 升级为新版本5.2.2,导致 原先的代码 报错,替换方案_xssfcellstyle.border_thin_耷腊呜呜的博客-CSDN博客POI版本升级,从POI3.11升级到POI4.1.0_poi最新版本_秋装什么的博客-CSDN博客
【Apache POI】百万级数据导出Excel,并含有折线等图表_apache
最新发布
2401_84010384的博客
05-13 955
HSSF - 提供读写XLS 格式文件的功能。XSSF - 提供读写Microsoft ExcelOOXMLXLSX 格式文件的功能。HWPF - 提供读写DOC 格式文件的功能。XWPF - 提供读写DOCX 格式文件的功能。HSLF - 提供读写格式文件的功能。HDGF - 提供读格式文件的功能。HPBF - 提供读格式文件的功能。HSMF - 提供读格式文件的功能。
IDEA报错:java.lang.NoSuchFieldError 和 NoSuchMethodError
whtaname的博客
02-01 6704
java报错:java.lang.NoSuchFieldError 和 NoSuchMethodError
Nacos本地启动异常?数据库和单体都配置好了还是无法启动?
ytfdcxy的博客
10-14 3762
nacos报错
java.lang.NoClassDefFoundError: org.apache.poi.POIXMLDocument问题排查解决
weixin_45937536的博客
02-07 1万+
java.lang.NoClassDefFoundError: org.apache.poi.POIXMLDocument问题排查解决
OpenSCA是一款开源的软件成分分析工具,用来扫描项目的第三方开源组件依赖及漏洞信息
04-25
OpenSCA,全称为Open Source Component Analysis,是一款强大的开源软件成分分析工具,旨在帮助开发者识别并管理项目中的第三方开源组件,以及这些组件可能存在的安全漏洞。在软件开发过程中,使用开源组件可以极大...
揭秘WebSphereProcessServer中SCA组件的事务实现机制
01-31
SCA作为一种新的编程模型,自然也需要提供完整的事务支持。所幸的是WPS本身是基于WebSphere ApplicationServer的,所以底层天然就具有了强大的事务处理能力。因此在SCA层次上只需要考虑事务的语法是什么,然后在合适...
SCA平台ARM组件的设计
04-16
其中对ARM处理器的组件进行了设计和封装,使得上层波形调用直接通过逻辑设备,达到上层波形应用和底层实际硬件ARM处理器分离的目的。由此推论出具有SCA功能的无线电最大限度节省波形移植费用,实现了软件无线电民用...
java.lang.NoClassDefFoundError: org/apache/poi/xssf/usermodel/XSSFWorkbook错误解决方法
m0_64685289的博客
05-07 4978
java.lang.NoClassDefFoundError: org/apache/poi/xssf/usermodel/XSSFWorkbook错误解决方法
解决Apache POI 代码问题漏洞时,缺少类的问题 (CTPageMar 等)
Oxye
04-17 2966
目录问题代码漏洞告警寻找高版本解决方案一:根据告警提示替换依赖更新依赖步骤解决方案二:把缺少的类从旧包拷到本地解决方案三:终于找到靠谱的依赖总结 问题 先把问题放这 代码漏洞告警 昨天项目代码被检测到POI高危漏洞 漏洞级别:高危漏洞名称:Apache POI 代码问题漏洞 漏洞介绍 Apache POI是美国阿帕奇(Apache)软件基金会的一个开源函数库,它提供API给Java程序可对Microsoft Office格式档案进行读和写。 Apache POI 4.1.0及之前版本中存在安全漏洞。攻击者
Springboot 项目 org.apache.poi 版本冲突
linzi19900517的博客
09-08 6045
解决 Springboot 项目 org.apache.poi 版本冲突问题。错误信息为 Handler dispatch failed; nested exception is java.lang.NoSuchMethodError:org.apache.poi.ss.usermodel.CellStyle.setAlignment(S)V。
使用EasyExcel报错NoClassDefFoundError: org/apache/poi/util/TempFileCreationStrategy,并不Easy
热门推荐
PeterOK的博客
12-29 3万+
最近项目中使用了alibaba的EasyExcel,结果报错抛出了Error,导致虽然 catch 了 Exception,然并卵。。。 首先来回顾一下JDK的API中对 Throwable、Exception和Error的解释: Throwable 类是 Java 语言中所有错误或异常的超类,其子类有Exception和Error。既然Error和Exception都是继承自Throwable,所以从根本上你可以理解他们是差不多的,程序出了问题就抛出。然后一般意义来讲,区别就是Error比Except
POI_PI,POI升级5.2.2报错问题
weixin_39715061的博客
06-17 5642
项目中使用POI_PI但是升级后报错,因为项目整合了SpringBoot2.2而POI5.2.2中引入的版本比SpringBOOT自带的log版本高所以需要升级SpringBoot中配置添加如下配置 <dependency> <groupId>org.apache.logging.log4j</groupId> <artifactId>log4j-to-slf4j</artifactId> <version>2.
apache poi 生成word 3D折线图 maven
zt60112的博客
05-28 677
首先pom导入poi依赖,要用高版本的poi,我用的5.0.0是可以的。 注意此处有坑,在5.0.0高版本中原来的poi-ooxml-schemas已经改名为poi-ooxml-lite <dependency> <groupId>org.apache.poi</groupId> <artifactId>poi</artifactId> <version>5.0...
POI及EasyExcelJava提高】
小心星的博客
07-15 774
POI及EasyExcelJava提高】
SCA软件组成分析系统
02-02
SCA软件组成分析系统介绍

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值