我目前正在开发一个大型遗留项目并尝试修复OpenSSL漏洞问题,如How to address OpenSSL vulnerabilities in your apps所述.
问题是,有很多依赖项,有些是开源的(我更新了所有没有破坏兼容性的)作为Gradle导入添加,有些是由我工作和附加的公司的合作伙伴和承包商提供的自定义/封闭源作为JARs的项目.
有没有办法确定具有此漏洞的特定库?我使用了Google Play and OpenSSL warning message提供的bash脚本,它指向一个本机依赖项(实际上是.so文件).有没有选择来确定那里的实际依赖?