OWASP依赖性检查Maven插件–必须具备

最新推荐文章于 2024-07-13 11:08:13 发布
最新推荐文章于 2024-07-13 11:08:13 发布
阅读量621 收藏
点赞数
文章标签: java maven python spring vue ViewUI

我不得不非常遗憾地承认,我对OWASP依赖检查maven插件一无所知。 自2013年以来似乎已经存在。显然GitHub上已有千个项目正在使用它。

过去,我手动检查了依赖项,以根据漏洞数据库对其进行检查,或者在很多情况下,我只是完全不了解依赖项所具有的任何漏洞。

这篇文章的目的仅仅是–推荐OWASP依赖项检查maven插件是几乎每个maven项目中的必备工具。 (也有用于其他构建系统的依赖项检查工具 )。

添加插件时,它将生成报告。 最初,您可以手动升级有问题的依赖项(我在当前项目中升级了其中的两个),或消除误报(例如,cassandra库被标记为易受攻击,而实际的漏洞是Cassandra绑定了未经身份验证的RMI端点,我已经通过堆栈设置解决了该问题,因此该库不是问题)。

然后,您可以配置漏洞的阈值,并在出现新漏洞时使构建失败-通过添加易受攻击的依赖关系,或者在现有依赖关系中发现漏洞的情况下,构建失败。

所有这些都显示在示例页面中 ,非常简单。 我建议立即添加插件,这是必须的: 

<plugin>
	<groupId>org.owasp</groupId>
	<artifactId>dependency-check-maven</artifactId>
	<version>3.0.2</version>
	<executions>
		<execution>
			<goals>
				<goal>check</goal>
			</goals>
		</execution>
	</executions>
</plugin>

当然,不是所有的玫瑰。 使用reddit的人抱怨说,尽管该插件在本地缓存内容,但仍可能显着降低构建速度。 因此,最好将其从常规构建中排除,并在CI系统和/或deploymenet管道中每晚运行。

现在,检查依赖关系是否存在漏洞只是确保软件安全的一个小方面,它不应该给您带来错误的安全感(有点“我检查了我的依赖关系,因此我的系统是安全的”谬论)。 但这是一个重要方面。 并且使该检查自动化是巨大的收获。

翻译自: https://www.javacodegeeks.com/2017/12/owasp-dependency-check-maven-plugin-must.html

dnc8371
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
owasp依赖检查技能
02-16
atomist/owasp-dependency-check 码头工人 添加了JDBC_DRIVER_PATH和DEPENDENCY_CHECK (图像中dependency-check.sh脚本的位置)环境变量,以供技能运行时使用。 # Docker Build docker build -t owasp-dependency-check-skill:latest -f docker/Dockerfile . # Shell-In to Container docker run -it --entrypoint /bin/sh --user root owasp-dependency-check-skill:latest Google Mysql实例,用于快速CVE查找 可以使用cli与mysql客户端连接: cd mysql mysql --user=root --password
Maven安全检查owasp dependency-check)
fxtxz2的专栏
06-30 2494
检测依赖库是否被使用 剔除多余库 mvn dependency:tree dependency:analyze 检测依赖库最新版本 mvn versions:display-plugin-updates versions:display-dependency-updates 检测依赖库公共OWASP漏洞 配置maven文件: <project> ... <build> ... <plugins>
Spring Boot实战:多层面防御XSS攻击的详细步骤
最新发布
kiingking的博客
07-13 358
Spring Boot中防止XSS(跨站脚本)攻击通常涉及几个关键步骤,包括使用注解、创建过滤器以及配置安全策略。
owasp maven_OWASP依赖性检查Maven插件必须具备
最佳 Java 编程
07-02 1010
owasp maven 我不得不非常遗憾地承认,我不知道OWASP依赖检查maven插件 。 自2013年以来似乎已经存在。显然GitHub上已有千个项目正在使用它。 过去,我手动检查了依赖项,以根据漏洞数据库检查它们,或者在很多情况下,我只是对自己的依赖项所存在的任何漏洞一无所知。 这篇文章的目的就是推荐OWASP依赖项检查maven插件是几乎每个maven项目中的必备工具。 (也...
Web起步依赖警告:提供可传递的易受攻击的依赖项 maven:org.yaml:snakeyaml:1.33
一起加油吧!
12-07 1879
SpringBoot在3.2.0版本已经将问题修复,如果你的版本低于3.2.0,可以通过升级依赖项版本解决依赖警告问题。
教你从零搭建Web漏洞靶场OWASP Benchmark
华为云官方博客
02-09 3727
摘要:Owasp benchmark 旨在评估安全测试工具的能力(准确率、覆盖度、扫描速度等等),量化安全测试工具的扫描能力,从而更好得比较各个安全工具优缺点。
OWASP插件的使用
520_LH
11-23 644
1.介绍:Dependency-Check更方便的知道哪些jar存在高危漏洞,进而进行安全升级 2.官网下载地址:https://www.owasp.org/index.php/OWASP_Dependency_Check 3.下载完以后解压:把如下plugins.zip解压到到此插件的bin目录下;如下图: 4.上图中标注出来的创建快捷方式;将快捷方式剪切并粘贴到%appdata%\Roaming\Microsoft\Windows\SendTo目录下 5.找到本地lib文件夹下的...
Maven插件开发入门指南
Maven插件是扩展Maven功能的强大工具,允许用户创建自定义任务、自动化构建过程并简化开发工作流程。本章将介绍Maven插件的基础知识,包括其结构、生命周期、配置和使用。 # 2.1 Maven插件的结构和生命周期 ### ...
Jenkins自定义安装插件
weixin_53044798的博客
05-17 1174
我们在构建过程中jenkins会给我们生成一个workspace的工作空间,里面会存储我们在构造过程中产生的各种文档(特别是Git拉取到的代码)。如果时间戳显示的日期格式不符合需求,我们可以在系统管理中的Configure System(系统配置)中找到Timestamper 然后定义我们自己的时间戳显示效果,也可以定义Pipeline中的显示效果。这些插件可以说,是我们的Jenkins必备的插件了。该插件提供了一种简单的方法,可以打包所有作业的秘密文件和密码,并在构建过程中使用单个环境变量访问它们。
使用maven进行依赖包的自动更新和升级
通过Maven,开发人员可以轻松地管理项目中的依赖关系,自动化构建过程,简化开发流程,提高项目的可维护性和稳定性。 ## 1.2 依赖包管理的重要性 在项目开发中,依赖包管理是非常重要的一环。随着项目的复杂度增加...
TWO DAY | WEB安全之OWASP TOP10漏洞
EverUP
05-15 5887
OWASP:开放式Web应用程序安全项目(Open Web Application SecurityProject),OWASP是一家国际性组织机构,并且是一个开放的、非盈利组织,它致力于协助政府、企业开发、升级各类应用程序以保证其可信任性。所有OWASP的工具、文档、研讨以及所有分会都对任何就应用安全领域感兴趣的人士自由开放。其最具权威的就是“10项最严重的Web应用程序安全风险列表”
dependency-check-maven安全漏洞扫描工具介绍
热门推荐
太空眼睛的专栏
05-03 1万+
目录dependency-check-maven安全漏洞扫描工具介绍dependency-check-maven插件重点参数解析运行命令检查单个maven工程安全漏洞检查多个maven子工程汇总一个报告扫描报告示例 dependency-check-maven安全漏洞扫描工具介绍 dependency-check官网下载地址: https://owasp.org/www-project-dependency-check 这个工具支持多种方式,本文主要介绍使用maven插件的使用方式 dependency-c
使用 Maven 进行依赖漏洞检查的指南
fudaihb的博客
05-17 1595
Apache Maven 是一个流行的项目管理和构建工具,主要用于 Java 项目。它可以简化项目的依赖管理、构建、文档生成和项目报告等任务。进行依赖漏洞检查是确保软件项目安全的重要一步。通过使用 OWASP Dependency-Check 和 Sonatype Nexus IQ 这样的工具,开发者能够有效识别和修复依赖中的已知漏洞。将这些检查集成到持续集成平台中,可以确保在开发的每个阶段都进行安全审查,从而提高项目的安全性和健壮性。
OWASP Dependency-Check 使用
qq_33439829的博客
12-01 860
我们在开发过程中,通常会使用一些第三方依赖,例如: poi,fastjson,hutool等。他的原理就是, 它通过检查我们的依赖,然后对比一些公开的漏洞库。来给我们生成报告,告知我们哪些依赖是有问题的,通过这些提示,我们可以去提高依赖的版本(一般高版本会修复相关漏洞)或者更换依赖。这个是因为这个文件,因为网络问题,没自动下载下来,我们只需手动把这个文件下载下来,放到对应的位置(提示信息上有)正常情况下,需要等待10多分钟,因为在下载漏洞库。因为需要下载漏洞库的资源,所以,需要有梯子哈。
maven的依赖特性,冲突解决(五)
winter2summer的博客
03-09 511
转载:http://yanan0628.iteye.com/blog/2270409   1.maven依赖的几个特性     1.1 依赖范围 -scope标签     maven在构建过程有3套classpath,我们会根据配置依赖的范围 依赖不同的classpath,如下图:      compile:默认是compile,对 编译 测试 运行 都有效 provided:对编译
使用OWASP Dependency-Check进行第三方依赖包安全扫描实践
富贵的博客
10-09 1万+
1、简介 OWASP是开源的、非盈利的全球性安全组织,致力于应用软件的安全研究。OWASP的使命是使应用软件更加安全,使企业和组织能够对应用安全风险作出更清晰的决策。OWASP的研究成果被美、欧、日等多个国家的32个政府与行业组织机构引用成为近百项国际法规、标准、指南和行业行为准则。 Dependency-Check是OWASP(Open Web Application Security Project)的一个实用开源程序,用于识别项目依赖项并检查是否存在任何已知的,公开披露的漏洞。目前,已支持Java、.
代码依赖包安全漏洞检测 (OWASP) Dependency Check
loujun2016的博客
04-07 7630
构建DevSecOps过程中,代码依赖成分管理是一个较为头疼的事情,在某个甲方时自研了一套SCA的软件成分管理工具,由于功能做的比较重,在新公司并不适用。于是找到了OWASP开源的代码依赖扫描工具 以下有部分内容为摘抄自其它博客 此帖目的为记录遇到的问题 集成到idea工具时出现的问题一:Unable to download the NVD CVE data; the results may not include the most recent CPE/CVEs from the NVD. 问题.
antisamy的配置以及使用实现XSS防御
ru_li的专栏
07-07 9990
一、antisamy介绍: 二、所需的相关文件: 三、antisamy在eclipse的配置      maven的使用: 整体截图: pom.xml代码: 4.0.0 webTest webTest 0.0.1-SNAPSHOT war src src
maven中dependency插件的使用
netyeaxi的专栏
03-15 1112
Introduction:https://maven.apache.org/plugins/maven-dependency-plugin/index.htmldependency:treehttps://maven.apache.org/plugins/maven-dependency-plugin/tree-mojo.htmlResolving conflicts using the depe...
OWASP测试指南:客户端及错误处理安全性分析
- OTG-BUSLOGIC-009 恶意文件上传测试:检查文件上传功能的安全性,防止上传可执行文件或其他可能危害系统的文件。 4.12 客户端测试: - OTG-CLIENT-001 基于DOM跨站脚本测试:检测客户端JavaScript中的XSS(跨站...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值