详解Dependency-Check中如何 使用suppression.xml 忽略某些已评估为低风险或不可利用的漏洞 - 指南

suppression.xml

OWASP DependencyCheck 是一款用于检测项目依赖中已知安全漏洞的工具，而 suppression.xml 文件则用于管理扫描结果中的误报或无需立即处理的漏洞，确保最终报告更精准实用。suppression.xml 是一个抑制（或排除）文件，允许你明确告诉 DependencyCheck 忽略某些特定的漏洞警告。它的核心价值在于帮助我们精细化管理漏洞报告，减少干扰，聚焦在真正需要关注的安全问题上。

为什么需要 suppression.xml

需要 suppression.xml 文件主要出于以下原因：

1. 管理误报：DependencyCheck 主要通过匹配 CPE（通用平台枚举）和 CVE（通用漏洞披露）来识别漏洞，但有时这种匹配可能不准确。例如，工具可能错误地将一个无害的组件识别为存在某个 CVE 漏洞的组件。

2. 处理特殊状况：

• 某些漏洞可能不影响当前项目，例如漏洞仅存在于特定操作系统或项目未使用受影响的功能。
• 对于暂时无法修复的依赖项，例如依赖库尚未发布修复版本，或者升级会导致不兼容，可以先抑制相关警告并记录原因。
• 如果某个依赖项被错误地识别成了不相关的产品，也可以通过抑制文件来纠正。

如何使用 suppression.xml

指定抑制文件
你需要确保 DependencyCheck 知道抑制文件的位置。

Maven 配置示例：
在 pom.xml 中配置 DependencyCheck Maven 插件时，指定抑制文件路径：

    org.owasp
    dependency-check-maven
    8.2.0 
    
        path/to/your/suppression.xml
        
    

之后运行 mvn verify 即可执行检查并应用抑制规则。

命令行方式：
使用 CLI 时，通过 --suppression 参数指定：

dependency-check.sh --project "MyProject" --scan "/path/to/scan" --suppression "/path/to/suppression.xml"

编写抑制规则

suppression.xml 文件的核心是定义抑制规则。DependencyCheck 支持基于多种属性进行匹配，以下是一些常见的用法和示例：

抑制条件	说明	示例
CVE 编号	直接按CVE编号抑制。	<suppress><cve>CVE-2021-37136</cve></suppress>
CPE 信息	抑制与特定CPE相关的所有漏洞。	<suppress><cpe>cpe:/a:apache:struts:2.0.0</cpe></suppress>
包URL	使用Package URL精确标识组件，推荐。	<suppress><packageUrl regex="true">^pkg:maven/org\.yaml/snakeyaml@.*$</packageUrl></suppress>
文件哈希	通过SHA1等文件哈希匹配。	<suppress><sha1>66734244CE86857018B023A8C56AE0635C56B6A1</sha1></suppress>
临时抑制	使用until属性实现临时抑制。	<suppress until="2025-12-31Z"><cve>CVE-2020-15824</cve></suppress>

获取抑制代码片段

手动编写所有规则很麻烦，你可以利用 DependencyCheck 生成的 HTML 报告来快速获取抑制代码片段：

1. 在 CI 构建产出的"工件"或"报告"目录中找到 dependency-check-report.html。

2. 在报告中找到要抑制的漏洞，通常旁边会有一个 "Suppress"按钮。

3. 点击该按钮，会弹出一个对话框，里面就是为你生成好的 XML 代码片段，复制到 suppression.xml 中即可。

使用技巧与最佳实践

为了更有效地使用 suppression.xml，这里有一些建议：

1. 精准抑制：尽量使用更精确的匹配条件（如 packageUrl 或 cve），避免使用过于宽泛的条件（如仅用 cpe）导致漏洞被意外抑制。

2. 说明抑制原因：在 <notes> 标签中清晰记录为什么要抑制这个漏洞，例如："该CVE仅影响Windows环境，本项目部署于Linux"。这能为后续审查提供宝贵上下文。

3. 设定抑制期限：对于暂时无法修复的漏洞，使用 until 属性为抑制设置一个过期时间。这能确保团队在未来重新评估这些漏洞，防止"一劳永逸"的忽视。

4. 定期审查：切勿"设置并遗忘"。建议定期（如每季度）审查 suppression.xml 文件，检查是否有已过期的抑制、已修复的依赖，或者可以移除的不必要抑制。

suppression.xml 抑制文件模板

给大家一个实用性很强的模版demo，示例如下：

h2-1.4.200.jarCVE-2021-42392^com\.example\.utils:internal-utils:.*$jackson-databind-2.9.10.8.jarCVE-2020-25649log4j-core-2.12.1.jarCVE-2021-44228 CVE-2018-12345

重要提醒

suppression.xml 是一个强大的工具，但绝不能用它来简单地掩盖所有安全问题，把它当作一种"眼不见心不烦"的手段是危险的。它的正确角色是一个精细化的管理过滤器，其使用必须辅以审慎的判断和文档记录。修复依赖项本身，永远是处理漏洞的首选方案。