Actualmente estoy trabajando en un gran proyecto heredado y estoy tratando de solucionar el problema de vulnerabilidad de OpenSSL como se explica enCómo abordar las vulnerabilidades de OpenSSL en sus aplicaciones.

El problema es que hay muchas dependencias, algunas son de código abierto (actualicé todas las que no rompieron la compatibilidad) agregadas como importación de Gradle, algunas son de origen personalizado / cerrado proporcionadas por socios y contratistas de la compañía para la que trabajo y adjunto al proyecto como JARs.

¿Hay alguna manera de identificar una biblioteca específica que tenga esta vulnerabilidad? Usé el script bash provisto enMensaje de advertencia de Google Play y OpenSSL y apunta a una dependencia nativa (en realidad el archivo .so). ¿Hay alguna opción para determinar la dependencia real desde allí?