Форум КриптоПро
»
Средства криптографической защиты информации
»
КриптоПро JCP, JavaTLS
»
КриптоПро JCP, уязвимости в библиотеках-зависимостях и выпуск новых версий
Статус: Новичок
Группы: Участники
Зарегистрирован: 20.11.2021(UTC)
Сообщений: 1
|
Добрый день.
Мы используем КриптоПро JCP для реализации сервиса для одного крупного заказчика. Функционально все работает, но статический анализ зависимостей, выполняемый сотрудниками ИБ, ругается на наличие уязвимостей в библиотеках. В частности, основная претензия к библиотеке bcprov-jdk15on - использованная в последней на текущий момент КриптоПро JCP 2.0.41940-A версия 1.60 содержит ряд уязвимостей.
Вопрос.
Существует ли процедура обновления зависимостей до актуальных версий и следует ли ожидать выпуска сертифицированного релиза КриптоПро JCP, в котором будет использована bcprov-jdk15on версии 1.68 или выше?
|
|
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 06.12.2008(UTC) Сообщений: 3,924  Откуда: Крипто-Про Сказал(а) «Спасибо»: 20 раз
Поблагодарили: 690 раз в 651 постах
|
Здравствуйте.
На текущий момент в зависимостях JCP указана версия BC 1.60 - проверена работа с этой версией. Периодически мы повышаем версии зависимостей, не только BC. Вы можете попробовать использовать версию BC 1.68, однако корректность работы не гарантирована, могут быть ошибки. |
|
|
|
|
|
|
Форум КриптоПро
»
Средства криптографической защиты информации
»
КриптоПро JCP, JavaTLS
»
КриптоПро JCP, уязвимости в библиотеках-зависимостях и выпуск новых версий
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Important Information:
The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies.
More Details
Close
