有一个dependency-check-maven插件，它检查我的Java项目中的第三方依赖项是否具有已知漏洞。问题在于，由于CVE不包含该库的唯一标识符，因此该插件具有很多误报（很可能是误报）。例如，最近的Spring漏洞CVE-2018-1275包含的标识符cpe:2.3:a:pivotal_software:spring_framework:*:*:*:*:*:*:*:* versions from (including) 4.3.0 up to (excluding) 4.3.16很难映射到确切的Maven依赖项。有关更多详细信息，请参见本文。CVE和Maven依赖项之间是否存在一些可公开访问的映射，从而可以进行更可靠的检查？