dependency-check-12.1.0 更新漏洞库报错处理

于 2025-02-21 17:11:50 发布
阅读量921 收藏 8
点赞数 15
分类专栏: 安装配置 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/GalaxySpaceX/article/details/145781292
版权

前言:

        最近升级了dependency-check到12.1.0,发现初始化漏洞库的时候会出现卡死或者报错的问题,每次测试更新又要等很久,用了几天算是解决了更新出错的问题,下面对12.1.0版本初始化中会出现的问题进行分析和解决

更新卡死:

        更新的时候会出现更新到50%左右就会出现卡死,官方也有人提出了这个问题

NVD download not setting read timeout for HTTP5 Client · Issue #7418 · dependency-check/DependencyCheck · GitHub

和我这里出现的问题相同,不过我要好点,到70%多会出现卡死,然后就不动了

抓包看了一下卡死后,程序会进入阻塞,不会在进行下载,分析应该是多次超时后进入等待,没有重新挂起,然后看了下官方的更新解释,估计应该是第三方jar包的问题,直接列出出问题的jar

问题就出现在httpclient5-5.4.2.jar;httpcore5-5.3.3.jar;httpcore5-h2-5.3.3.jar

原因如下,5.4.2版本要求如果 `Connection` 标头已经存在,则不要添加 `Upgrade` 标头(调用者手动管理连接状态),由此由于调用者接管了连接状态,当超时次数过多或其他异常没有处理就会进入等待状态,反应到前端就是卡死不动了

解决办法也很简单,不使用最新版本的,降低版本到如下三个

httpclient5-5.4.1.jar;httpcore5-5.3.2.jar;httpcore5-h2-5.3.1.jar

更新代理问题:

更新完成漏洞库后可能会出现如下漏洞

[ERROR] Failed to initialize the RetireJS repo
org.owasp.dependencycheck.data.update.exception.UpdateException: Failed to initialize the RetireJS repo

这是因为如下地址无法打开,即无法获取到jsrepository.json文件

https://raw.githubusercontent.com/Retirejs/retire.js/master/repository/jsrepository.json

解决办法,科学上网,使用代理访问

--proxyserver 127.0.0.1  --proxyport 7890

 或者通过其他渠道下载后放到data文件中

 但是直接下载放进去可能不认,最好还是使用代理下载

Java Servlet 代码质量检测工具的使用与实践
Java大师兄的博客
04-17 662
本文旨在为Java Web开发人员提供一套完整的Servlet代码质量检测方案。我们将覆盖从基础概念到高级实践的完整知识体系,重点介绍如何在Servlet开发环境中实施有效的代码质量管控。文章首先介绍Servlet技术基础和代码质量概念,然后深入分析主流检测工具,接着通过实战案例展示工具集成,最后讨论应用场景和发展趋势。Servlet:Java编写的服务器端程序,用于处理Web请求和生成响应代码质量:衡量代码可维护性、可靠性、安全性和效率的综合指标静态分析:在不执行代码的情况下分析源代码质量的技术。
dependency-check-7.1.1-release
06-27
依赖检查工具dependency-check是软件开发领域中用于检测项目依赖是否存在已知安全漏洞的重要工具。在版本7.1.1中,它提供了最新的安全数据和改进的分析功能,以帮助开发者确保他们的应用程序免受潜在的安全威胁...
Dependency-Check操作手册V1.0(互联网及内网使用)
08-26
本手册适用于帮助初学者快速掌握Dependency-Check的安装、配置与使用方法。通过阅读本文档,您将能够了解如何搭建Dependency-Check环境、进行项目依赖安全扫描,并解读生成的报告。此外,本文档还涵盖了常见问题及解决方法,以便您在实际操作中遇到困难时能够及时找到解决方案。
依赖包安全漏洞扫描工具——Dependency-Check,2024年最新网络安全开发谈
2303_79055586的博客
04-11 1226
还有兄弟不知道网络安全面试可以提前刷题吗?费时一周整理的160+网络安全面试题,金九银十,做网络安全面试里的显眼包!王岚嵚工程师面试题(附答案),只能帮兄弟们到这儿了!如果你能答对70%,找一个安全工作,问题不大。对于有1-3年工作经验,想要跳槽的朋友来说,也是很好的温习资料!【完整版领取方式在文末!!
使用OWASP Dependency-Check对应用做个安检
chopper-poet的专栏
02-25 343
俗话说“人怕出名猪怕壮”,当系统小有名气以后就会被一些黑客盯上,三天两头的用各种漏洞扫描工具做渗透,如果不希望某天你负责的系统因为安全问题而出名,那就提前行动起来吧,这就是今天要讲的OWASP Dependency-Check。 图片来源于百度 背景 随着业务的发展,系统的用户逐渐增多,这时就会有一些不速之客找上门来。 俗话说“人怕出名猪怕壮”,当系统小有名气以后就会被一些黑客盯上,三天两头的...
依赖包安全漏洞扫描工具——Dependency-CheckOWASP)_autoupdate is disabled and the database does not e(3)
2401_84254343的博客
05-08 535
这个方向初期比较容易入门一些,掌握一些基本技术,拿起各种现成的工具就可以开黑了。运行dependency-check.bat报错:[ERROR] Autoupdate is disabled and the database does not exist。
警惕 Python 中少为人知的十个安全陷阱(1)
dzqxwzoe的博客
06-26 736
!!!!!
依赖包安全漏洞扫描工具——Dependency-CheckOWASP)_autoupdate is disabled and the database does not e
2401_83974783的博客
04-16 1404
重新运行 OWASP Dependency-Check,并确保数据文件已正确配置和加载。这个方向初期比较容易入门一些,掌握一些基本技术,拿起各种现成的工具就可以开黑了。如果上述步骤仍然无法解决问题,你可以尝试手动下载数据文件并将其放置在 OWASP Dependency-Check 的数据目录中。等待执行完成后,我们可以在指定的报表输出路径上,看到生成的html文件。dependency-check.bat linux下就是.sh。(这一步出现问题的话,可以看一下文档底部的注意事项!
代码依赖包安全漏洞检测 (OWASPDependency Check
loujun2016的博客
04-07 7829
构建DevSecOps过程中,代码依赖成分管理是一个较为头疼的事情,在某个甲方时自研了一套SCA的软件成分管理工具,由于功能做的比较重,在新公司并不适用。于是找到了OWASP开源的代码依赖扫描工具 以下有部分内容为摘抄自其它博客 此帖目的为记录遇到的问题 集成到idea工具时出现的问题一:Unable to download the NVD CVE data; the results may not include the most recent CPE/CVEs from the NVD. 问题.
开源工具系列5:DependencyCheck
qq_44005305的博客
03-08 4471
Dependency-CheckOWASP(Open Web Application SecurityProject)的一个实用开源程序,用于识别项目依赖项并检查是否存在任何已知的,公开披露的漏洞
DependencyCheck+Jenkins扫描JAVA第三方依赖(CVE)漏洞
u012280424的博客
09-26 4963
利用Jenkins使用DependencyCheck更新漏洞到本地,然后DependencyCheck扫描扫描项目,得到一个json报告,然后再使用json报告填充我们的自定义模板,最后输出填充后的模板为漏洞报告。
jsrepository.json
08-12
owasp-dependency-check扫描工具data目录下jsrepository.json文件
dependency-check-6.2.2-release.zip
08-10
2. **dependency-check/lib**:这个目录包含了所有必需的文件,包括Java的jar文件,这些文件在执行扫描时被加载,用于解析项目依赖、查找漏洞信息并生成报告。 3. **dependency-check/data**:这里存储了依赖检查...
dependency-check-gradle:依赖项检查gradle插件使项目可以监视依赖中的已知已发布漏洞
04-30
classpath ' org.owasp:dependency-check-gradle:6.1.5 ' } } apply plugin : ' org.owasp.dependencycheck ' 步骤2,运行gradle任务 一旦应用gradle插件,请运行以下gradle任务来检查依赖关系: gradle ...
基于Java和Shell的dependency-check-eraser漏洞规避设计源码
最新发布
09-30
该项目提供了一种基于Java和Shell编写的dependency-check-eraser漏洞规避设计的源码,总文件量达到36个,其中包含27个Java源文件、5个YAML配置文件、1个Git忽略文件、1个LICENSE文件、1个XML文件和1个Shell脚本文件...
Dependency-Check
qq_45370296的博客
09-21 1343
安装Dependency-Check有很多种方式,如构建工具插件、持续集成/持续交付(CI/CD)集成、Docker 集成、IDE 集成、自定义脚本、REST API,我一般会使用Maven构建项目,将Dependency-Check添加为Maven插件。Dependency-Check是一个用于检测应用程序的依赖项(项目中引入的各种、框架和软件包)中是否存在已知漏洞的工具。执行完成后,可以在生成的报告中查看依赖项的漏洞信息。Dependency-Check 插件将会执行漏洞检查,并生成相应的报告。
dependency-check-maven安全漏洞扫描工具介绍
热门推荐
Java技术栈,分享不断学习、不断超越、不断积累的历程!
05-03 1万+
目录dependency-check-maven安全漏洞扫描工具介绍dependency-check-maven插件重点参数解析运行命令检查单个maven工程安全漏洞检查多个maven子工程汇总一个报告扫描报告示例 dependency-check-maven安全漏洞扫描工具介绍 dependency-check官网下载地址: https://owasp.org/www-project-dependency-check 这个工具支持多种方式,本文主要介绍使用maven插件的使用方式 dependency-c
Java项目代码依赖包安全漏洞检测插件Dependency Check
QC班长的博客
01-11 1万+
最近在搞Java的后端项目,需要更新jar依赖包,找到了一个jar包漏洞检测的插件Dependency CheckDependency-CheckOWASP(Open WebApplication Security Project)的一个实用开源程序,用于识别项目依赖项并检查是否存在任何已知的,公开披露的漏洞。目前,已支持Java、.NET、Ruby、Node.js、Python等语言编写的程序,并为C/C++构建系统(autoconf和cmake)提供了有限的支持。官网地址:OWASP Depen
依赖包安全漏洞扫描工具——Dependency-CheckOWASP
海边de曼彻斯特的博客
12-22 2606
只介绍命令的方式,maven 插件需要授权不好用暂不做介绍。后期如果有需求再补充。点击下载即可:没梯子的用迅雷一样下载。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值