aquasecurity/trivy

Escaneado em 8 de jun. de 2026

Risk score/ 100

Risco baixo

Resumo

Trivy uses SHA-1 hashing for Java dependency identification and artifact lookup via Maven/Sonatype repositories. While SHA-1 is cryptographically broken for collision resistance, its use here for content fingerprinting and database lookups poses moderate risk as it relies on ecosystem standards. The primary concern is dependency on external SHA-1 indices that may be vulnerable to collision attacks affecting supply chain integrity.

Crítico

Alto

Médio

Baixo

Principais findings

CríticoSHA-1
pkg/dependency/parser/java/jar/parse.go:7
SHA-256 or SHA3-256
Evidência
```
"crypto/sha1" // nolint:gosec
```
CríticoSHA-1
pkg/dependency/parser/java/jar/parse.go:33
SHA-256 or SHA3-256
Evidência
```
SearchBySHA1(sha1 string) (Properties, error)
```
CríticoSHA-1
pkg/dependency/parser/java/jar/parse.go:129
SHA-256 or SHA3-256
Evidência
```
return nil, nil, xerrors.Errorf("failed to search by SHA1: %w", err)
```
CríticoSHA-1
pkg/dependency/parser/java/jar/parse.go:239
SHA-256 or SHA3-256
Evidência
```
h := sha1.New() // nolint:gosec
```
CríticoSHA-1
pkg/dependency/parser/java/jar/parse_test.go:264
SHA-256 or SHA3-256
Evidência
```
name: "sha1 search",
```

+ 4 findings no relatório completo

Escaneie seu próprio repositório

Grátis. Resultados em ~90 segundos. CBOM + PDF DORA/NIS2 inclusos.

Começar scan grátis