大家好,我是烤鸭:
整点干货,代码级别的版本统一,以及漏洞版本的扫描。
背景
两个方面吧。
-
项目整体的架构不统一,springboot/cloud 配置/注册中心也用的不统一,版本更是五花八门,怎么快速的找到问题,给出合理建议。
-
去年年底的时候都被log4j搞过,漏洞安全也被提到第一线,快读定位漏洞版本。
思路
先画一个功能大点的业务流程图,再从具体某一个点详细说下
架构统一:
- 制定规则,比如 都用springboot+cloud ,配置/注册中心 都用nacos。
- 统一版本,像springboot 2.6.7 针对不同的版本,用的基础包也不一样,尤其是nacos-client这种的,spring跨版本,这玩意就报错。
- 维护一致性,有的项目太老了,也不建议一步升级到位,需要先小幅升级一个大版本后再继续升级,这种的就需要维护一个列表范围,以及对应的中间件包。
- 做好升级指南,
- 通知提示,架构不规范的要做好醒目的提醒和提示,类似下面这种。
代码实现
maven-invoker
<!-- https://mvnrepository.com/artifact/org.apache.maven.shared/maven-invoker -->
<dependency>
<groupId>org.apache.maven.shared</groupId>
<artifactId>maven-invoker</artifactId>
<version>3.0.1</version>
</dependency>
指定pom路径下扫描依赖包,相当于执行 mvn dependency:list
public List<String> mvnDependencyList(String pomPath) {
InvocationResult result = null;
List<String> list = new ArrayList<>();
try {
String mavenHome = System.getenv("MAVEN_HOME");
InvocationRequest request = new DefaultInvocationRequest();
request.setPomFile(new File(pomPath));
request.setGoals(Collections.singletonList("dependency:list"));
Invoker invoker = new DefaultInvoker();
invoker.setMavenHome(new File(mavenHome));
invoker.setLogger(new PrintStreamLogger(System.out, InvokerLogger.INFO));
final boolean[] isStart = {false};
invoker.setOutputHandler(hanlder -> {
if (hanlder.contains("The following files have been resolved") || hanlder.contains("---<")) {
isStart[0] = true;
}
if (hanlder.contains("[INFO] BUILD SUCCESS")) {
isStart[0] = false;
}
if (isStart[0]) {
list.add(hanlder);
}
});
result = invoker.execute(request);
} catch (MavenInvocationException e) {
e.printStackTrace();
}
logger.info("mvnDependencyList result =[{}]",result);
return list;
}
效果如图:
解析每行的版本和版本号,和标准的进行匹配。
这个就不贴代码了,解析过程也不难。
将解析后的结果存储,进行页面展示或者邮件发出。
做成定时个功能,可以定期扫描版本。
尤其是针对需要漏洞升级的时候,特别管用,之前公司出了一版扫描pom文件中的文本内容,真的是无力吐槽了,maven项目不扫依赖扫文本,何况还有多版本冲突问题,肯定取实际编译的。
总结
- 用在公司项目的架构版本统一,方便制定规则和监控进度。
- 用于漏洞升级这种特别事件,跟上面的功能类似。
- 有git信息了,能干的事情就更多了。获取分支、tag、最新代码增量等等,做一个效能输出。
- 有了代码,还可以干代码级别的扫描,坏味道、漏洞等等,规范代码维度。
- …
2489
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
