Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

Опции
К последнему сообщению К первому непрочитанному
Offline EvgeniyV  
#1 Оставлено : 20 ноября 2021 г. 20:56:28(UTC)
EvgeniyV

Статус: Новичок

Группы: Участники
Зарегистрирован: 20.11.2021(UTC)
Сообщений: 1

Добрый день.

Мы используем КриптоПро JCP для реализации сервиса для одного крупного заказчика. Функционально все работает, но статический анализ зависимостей, выполняемый сотрудниками ИБ, ругается на наличие уязвимостей в библиотеках. В частности, основная претензия к библиотеке bcprov-jdk15on - использованная в последней на текущий момент КриптоПро JCP 2.0.41940-A версия 1.60 содержит ряд уязвимостей.

Вопрос.
Существует ли процедура обновления зависимостей до актуальных версий и следует ли ожидать выпуска сертифицированного релиза КриптоПро JCP, в котором будет использована bcprov-jdk15on версии 1.68 или выше?
Offline Евгений Афанасьев  
#2 Оставлено : 21 ноября 2021 г. 19:02:43(UTC)
Евгений Афанасьев

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 06.12.2008(UTC)
Сообщений: 3,963
Российская Федерация
Откуда: Крипто-Про

Сказал(а) «Спасибо»: 20 раз
Поблагодарили: 704 раз в 665 постах
Здравствуйте.
На текущий момент в зависимостях JCP указана версия BC 1.60 - проверена работа с этой версией. Периодически мы повышаем версии зависимостей, не только BC. Вы можете попробовать использовать версию BC 1.68, однако корректность работы не гарантирована, могут быть ошибки.
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
Guest
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.