Здесь нужно конкретно очертить, что Вы подразумеваете под ложными срабатываниями? Как мы понимаем, OWASP Dependency Check просто проверяет, есть ли задокументированные уязвимости для зависимостей, которые используются в проекте. Уязвимости имеют разную критичность, приоритет и свои особенности. Если для Вашего проекта они не являются критичными, то есть возмоность сделать Suppress для них.
Вы правы в том, что необходимо добавить еще одну зависимость.
Однако важно понимать отличие в зависимостях: предложенная мной OWASP Dependency-Check просто считывает список библиотек приложения и проверяет, нет ли официально задокументированных случаев уязвимостей с этими библиотеками. К тому же, ее исходный код открыт.
И Вы всегда можете выбрать любой другой инструмент для проверки. Идеи статьи заключалась в том, что здорово было бы использовать какой-нибудь инструмент для анализа зависимостей.
Здесь нужно конкретно очертить, что Вы подразумеваете под ложными срабатываниями? Как мы понимаем, OWASP Dependency Check просто проверяет, есть ли задокументированные уязвимости для зависимостей, которые используются в проекте. Уязвимости имеют разную критичность, приоритет и свои особенности. Если для Вашего проекта они не являются критичными, то есть возмоность сделать Suppress для них.
Вы правы в том, что необходимо добавить еще одну зависимость.
Однако важно понимать отличие в зависимостях: предложенная мной OWASP Dependency-Check просто считывает список библиотек приложения и проверяет, нет ли официально задокументированных случаев уязвимостей с этими библиотеками. К тому же, ее исходный код открыт.
И Вы всегда можете выбрать любой другой инструмент для проверки. Идеи статьи заключалась в том, что здорово было бы использовать какой-нибудь инструмент для анализа зависимостей.