[研究]Mend (WhiteSource) 弱點掃描工具結果是否不固定?
2026-06-05
Mend (WhiteSource) 弱點掃描工具結果是否不固定? 掃描時會即時自某些平台抓取弱點資訊 ? 或定時自某些平台抓取弱點資訊 ? 所以相同 原始碼專案,不同時間掃描結果可能不固定?
*****
是的,Mend(原 WhiteSource)相同原始碼專案在不同時間掃描,結果可能不完全相同,這是正常現象。
原因在於 Mend 的弱點資料庫會持續更新,而不是永遠固定不變。
例如:
| 時間 | 專案版本 | 結果 |
|---|---|---|
| 6/1 | log4j 2.17.0 | 無漏洞 |
| 6/10 | log4j 2.17.0 | 發現 1 個漏洞 |
| 6/20 | log4j 2.17.0 | 發現 2 個漏洞 |
| 7/1 | log4j 2.17.0 | 其中 1 個漏洞被撤銷 |
(完)
沒有留言:
張貼留言