...
Vulnerabilidades encotradas
Vulnerabilidad por CSRF(Cross-site request forgery)
Identificada al implementar la configuracion configuración y uso de Apykey como medio de autenticacion autenticación entre servicios en el servicio Aggregation Service:
...
esta vulenerabilidad vulnerabilidad fue revisada con el equipo de desarrollo de Spin ya que al implementar el ApiKey en todos sus servicios presentan el mismo problema. Se llego a la conclusion conclusión que se podia podía mantener como un falso positivo ya que los servicios estan están en una subnet privada y son accedidos por medio de un balanceador privado, por lo que solo pueden ser consumidos por los servicios de Spin.
Vulnerabilidades por licencias
Estas vulnerabilidades son identificadas en los diferentes jar de librerias librerías de terceros como las de Spring, Tomcat, Lockbag, etc:
...
estas son librerias librerías ampliamente usadas y entenderia entendería que son falsos positivos, pero se quedo quedó que en cuanto se actualizara la base de datos de Snyk y si siguen saliendo deberia debería evaluarse la exclusionexclusión.