关于maven:推荐一款代码依赖包安全漏洞检查插件

55次阅读

共计 1022 个字符,预计需要花费 3 分钟才能阅读完成。

前言

明天向大家举荐一款代码依赖包破绽查看 maven 插件 –dependency-check-maven。通过这个插件能够扫描出我的项目中是否依赖曾经存在的安全漏洞包

如何应用

前置条件 :该插件须要应用 maven 3.1 或更高版本

1、在我的项目 pom 引入 dependency-check-maven 插件 GAV

  <build>
        <plugins>
            <plugin>
                <groupId>org.owasp</groupId>
                <artifactId>dependency-check-maven</artifactId>
                <version>7.0.0</version>
                <configuration>
                    <autoUpdate>true</autoUpdate>
                </configuration>
                <executions>
                    <execution>
                        <goals>
                            <goal>check</goal>
                        </goals>
                    </execution>
                </executions>
            </plugin>
        </plugins>
    </build>

2、切换到我的项目的 target 目录,执行 mvn dependency-check:check

注: 如果是 idea,能够间接如下,右键运行


第一次执行的话,他的速度会挺慢的,因为他须要从 NIST 托管的国家破绽数据库下载破绽数据到本地备份库。

在执行的过程中,可能会呈现

Failed to initialize the RetireJS repo

解决的方法

下载 jsrepository.json 并将该文件放到 maven 私仓地址 \org\owasp\dependency-check-data\7.0 目录下

执行结束后,会在 target 目录下产生 dependency-check-report.html 文件

3、通过浏览器关上 dependency-check-report.html


点击相应的链接信息,能够查看相应的破绽形容

总结

本文简略的介绍一下如何利用 dependency-check-maven 插件来查看代码依赖包安全漏洞。相干具体用法,能够查看如下链接
https://jeremylong.github.io/DependencyCheck/dependency-check-maven/index.html

demo 链接

https://github.com/lyb-geek/springboot-learning/tree/master/springboot-git-commit

正文完
 0