fix: remove insecure transitive dependency #100

wolverian · 2024-09-20T11:45:31Z

It seems like the app runs fine without this dependency, but who knows.
This is a suggestion PR; I'm not sure this is the right approach.

There is no fixed release of org.bouncycastle.bcprov-jdk15on. There are newer versions of org.bouncycastle.bcprov-jdk18on, but I failed to figure out if it's possible to force a dep to use another artifact entirely as its dependency.

It seems like the app runs fine without this dependency, but who knows.

Kailari · 2024-09-20T13:23:03Z

server/pom.xml

+            <exclusions>
+                <exclusion>
+                    <groupId>org.bouncycastle</groupId>
+                    <artifactId>bcprov-jdk15on</artifactId>
+                </exclusion>
+            </exclusions>
        </dependency>


Tää taitaa estää haavoittuvan depsun päätymisen classpathiin ainoastaan tämän yhden depsun osalta? (exclusion on määritetty dependencyn scopessa)

Jos mikään muu depsu sattuu riippumaan samasta haavoittuvasta depsusta, päätyykö se silloin classpathiin?

Vähän mietin onko tästä exclusionista varsinaisesti mitään iloa. Jos softa toimii ilman excludattua kirjastoa, se lienee aika selvä merkki ettei haavoittuvaa koodia ole käytössä.

Toki estämällä haavoittuvan depsun lataaminen kokonaan saadaan haavoittuvan koodin käyttö virhetilanteeksi, jos jokin koodimuutos ottaisi haavoittuvia osia käyttöön, joten on siitä ehkä jotain hyötyä.

Joo, vain tämän yhden depsun osalta, ymmärtääkseni. Toisaalta jos jokin muu depsu toisi tuon mukaan classpathiin niin IDEA varoittaisi sitten siitäkin. Dependabot hassusti ei varoita tästä ollenkaan.

Hmm, osaako dependabot edes reagoida jos haavoittuvuuden korjaavaa versiota ei vielä ole julkaistu? Vai eikö se haista transitiivisten riippuvuuksien haavoittuvuuksia? 🤔

Periaatteessa hieman lisäturvaa voisi saada kieltämällä haavoittuvan depsun käyttö kokonaan. En tosin tiedä onko noin raskaalla lekalla huitominen tarpeen 🤔

Tuo on kyllä se oikea ratkaisu tässä. Siihen voi sitten lisätä kommentin miksi otettiin näin raju ase käyttöön. Hyvä löytö.

wolverian · 2024-09-25T12:50:45Z

Avasin #126 erikseen, suljen tämän.

fix: remove insecure transitive dependency

d04846d

It seems like the app runs fine without this dependency, but who knows.

wolverian requested a review from a team as a code owner September 20, 2024 11:45

wolverian added the dependencies Pull requests that update a dependency file label Sep 20, 2024

Kailari reviewed Sep 20, 2024

View reviewed changes

wolverian marked this pull request as draft September 21, 2024 18:15

wolverian closed this Sep 25, 2024

wolverian deleted the fix/org.bouncycastle.bcprov-jdk15on branch September 25, 2024 12:50

Provide feedback

Saved searches

Use saved searches to filter your results more quickly

fix: remove insecure transitive dependency #100

fix: remove insecure transitive dependency #100

wolverian commented Sep 20, 2024 •

edited

Loading

Kailari Sep 20, 2024

Kailari Sep 20, 2024

wolverian Sep 20, 2024

Kailari Sep 20, 2024

Kailari Sep 20, 2024

wolverian Sep 21, 2024

wolverian commented Sep 25, 2024

fix: remove insecure transitive dependency #100

fix: remove insecure transitive dependency #100

Conversation

wolverian commented Sep 20, 2024 • edited Loading

Kailari Sep 20, 2024

Choose a reason for hiding this comment

Kailari Sep 20, 2024

Choose a reason for hiding this comment

wolverian Sep 20, 2024

Choose a reason for hiding this comment

Kailari Sep 20, 2024

Choose a reason for hiding this comment

Kailari Sep 20, 2024

Choose a reason for hiding this comment

wolverian Sep 21, 2024

Choose a reason for hiding this comment

wolverian commented Sep 25, 2024

wolverian commented Sep 20, 2024 •

edited

Loading