有一個(gè)dependency-check-maven插件，它檢查我的Java項(xiàng)目中的第三方依賴項(xiàng)是否具有已知漏洞。問題在于，由于CVE不包含該庫的唯一標(biāo)識(shí)符，因此該插件具有很多誤報(bào)（很可能是誤報(bào)）。例如，最近的Spring漏洞CVE-2018-1275包含的標(biāo)識(shí)符cpe:2.3:a:pivotal_software:spring_framework:*:*:*:*:*:*:*:* versions from (including) 4.3.0 up to (excluding) 4.3.16很難映射到確切的Maven依賴項(xiàng)。有關(guān)更多詳細(xì)信息，請(qǐng)參見本文。CVE和Maven依賴項(xiàng)之間是否存在一些可公開訪問的映射，從而可以進(jìn)行更可靠的檢查？