dependency-check-12.1.0 更新漏洞库报错处理

前言:

        最近升级了dependency-check到12.1.0,发现初始化漏洞库的时候会出现卡死或者报错的问题,每次测试更新又要等很久,用了几天算是解决了更新出错的问题,下面对12.1.0版本初始化中会出现的问题进行分析和解决

更新卡死:

        更新的时候会出现更新到50%左右就会出现卡死,官方也有人提出了这个问题

NVD download not setting read timeout for HTTP5 Client · Issue #7418 · dependency-check/DependencyCheck · GitHub

和我这里出现的问题相同,不过我要好点,到70%多会出现卡死,然后就不动了

抓包看了一下卡死后,程序会进入阻塞,不会在进行下载,分析应该是多次超时后进入等待,没有重新挂起,然后看了下官方的更新解释,估计应该是第三方jar包的问题,直接列出出问题的jar

问题就出现在httpclient5-5.4.2.jar;httpcore5-5.3.3.jar;httpcore5-h2-5.3.3.jar

原因如下,5.4.2版本要求如果 `Connection` 标头已经存在,则不要添加 `Upgrade` 标头(调用者手动管理连接状态),由此由于调用者接管了连接状态,当超时次数过多或其他异常没有处理就会进入等待状态,反应到前端就是卡死不动了

解决办法也很简单,不使用最新版本的,降低版本到如下三个

httpclient5-5.4.1.jar;httpcore5-5.3.2.jar;httpcore5-h2-5.3.1.jar

更新代理问题:

更新完成漏洞库后可能会出现如下漏洞

[ERROR] Failed to initialize the RetireJS repo
org.owasp.dependencycheck.data.update.exception.UpdateException: Failed to initialize the RetireJS repo

这是因为如下地址无法打开,即无法获取到jsrepository.json文件

https://raw.githubusercontent.com/Retirejs/retire.js/master/repository/jsrepository.json

解决办法,科学上网,使用代理访问

--proxyserver 127.0.0.1  --proxyport 7890

 或者通过其他渠道下载后放到data文件中

 但是直接下载放进去可能不认,最好还是使用代理下载

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值