Dependency-Check Gradle 插件使用教程

于 2024-08-25 09:34:09 发布
阅读量900 收藏 18
点赞数 15
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/gitblog_00722/article/details/141522856
版权

Dependency-Check Gradle 插件使用教程

dependency-check-gradleThe dependency-check gradle plugin is a Software Composition Analysis (SCA) tool that allows projects to monitor dependent libraries for known, published vulnerabilities.项目地址:https://gitcode.com/gh_mirrors/de/dependency-check-gradle

项目目录结构及介绍

Dependency-Check Gradle 插件的项目目录结构如下:

dependency-check-gradle/
├── build.gradle
├── gradle
│   └── wrapper
│       ├── gradle-wrapper.jar
│       └── gradle-wrapper.properties
├── gradlew
├── gradlew.bat
├── settings.gradle
└── src
    ├── main
    │   └── groovy
    │       └── org
    │           └── owasp
    │               └── dependencycheck
    │                   └── gradle
    │                       ├── DependencyCheckPlugin.groovy
    │                       └── tasks
    │                           ├── DependencyCheckAnalyze.groovy
    │                           ├── DependencyCheckAggregate.groovy
    │                           ├── DependencyCheckPurge.groovy
    │                           └── DependencyCheckUpdate.groovy
    └── test
        └── groovy
            └── org
                └── owasp
                    └── dependencycheck
                        └── gradle
                            └── DependencyCheckPluginSpec.groovy

主要目录和文件介绍

  • build.gradle: 项目的构建脚本,包含插件的依赖和任务配置。
  • gradle/wrapper/: Gradle Wrapper 的相关文件,确保项目使用特定版本的 Gradle 进行构建。
  • gradlewgradlew.bat: Gradle Wrapper 的启动脚本,分别用于 Unix 和 Windows 系统。
  • settings.gradle: 项目的设置文件,包含项目名称和子项目信息。
  • src/main/groovy/org/owasp/dependencycheck/gradle/: 插件的主要源代码目录,包含插件类和任务类。
  • src/test/groovy/org/owasp/dependencycheck/gradle/: 插件的测试代码目录,包含插件的测试类。

项目的启动文件介绍

项目的启动文件主要是 gradlewgradlew.bat,它们是 Gradle Wrapper 的启动脚本。通过这两个文件,可以在不安装 Gradle 的情况下运行项目的构建任务。

使用方法

在项目根目录下,可以通过以下命令启动 Gradle Wrapper:

  • Unix 系统:

    ./gradlew

  • Windows 系统:

    gradlew.bat

项目的配置文件介绍

项目的配置文件主要是 build.gradlesettings.gradle

build.gradle

build.gradle 文件是项目的构建脚本,包含插件的依赖和任务配置。以下是一个示例配置:

buildscript {
    repositories {
        mavenCentral()
    }
    dependencies {
        classpath 'org.owasp:dependency-check-gradle:10.0.3'
    }
}

apply plugin: 'org.owasp.dependencycheck'

dependencyCheck {
    format = 'ALL'
}

settings.gradle

settings.gradle 文件是项目的设置文件,包含项目名称和子项目信息。以下是一个示例配置:

rootProject.name = 'dependency-check-gradle'

通过这两个配置文件,可以对项目进行详细的配置和管理。

以上是 Dependency-Check Gradle 插件的基本使用教程,涵盖了项目的目录结构、启动文件和配置文件的介绍。希望对你有所帮助!

dependency-check-gradleThe dependency-check gradle plugin is a Software Composition Analysis (SCA) tool that allows projects to monitor dependent libraries for known, published vulnerabilities.项目地址:https://gitcode.com/gh_mirrors/de/dependency-check-gradle

祖然言Ariana
关注
  • 15
    点赞
  • 18
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
开源工具系列5:DependencyCheck
wolaisongfendi的博客
03-09 2170
Dependency-Check 是 OWASP(Open Web Application Security Project)的一个实用开源程序,用于识别项目依赖项并检查是否存在任何已知的,公开披露的漏洞。
Spring学习 关于dependency-check示例
09-27
Spring学习 关于dependency-check示例代码,需要自行下载Spring3相关jar包
依赖包安全漏洞扫描工具——Dependency-Check,2024年最新网络安全开发谈
m0_71744044的博客
07-06 788
给小伙伴们的意见是想清楚,自学网络安全没有捷径,相比而言系统的网络安全是最节省成本的方式,因为能够帮你节省大量的时间和精力成本。给自学的小伙伴们的意见是坚持住,既然已经走到这条路上,虽然前途看似困难重重,只要咬牙坚持,最终会收到你想要的效果。
dependency-check-gradle:依赖项检查gradle插件使项目可以监视依赖库中的已知已发布漏洞
04-30
依赖检查等级 依赖项检查gradle插件允许项目监视从属库是否存在已知的已发布漏洞。 当前的版本 最新版本是 用法 以下是快速入门说明。 请参阅以获取有关配置和用法的更多详细信息。 第1步,应用依赖项检查Gradle插件 从Maven中央仓库安装 buildscript { repositories { mavenCentral() } dependencies { classpath ' org.owasp:dependency-check-gradle:6.1.5 ' } } apply plugin : ' org.owasp.dependencycheck ' 步骤2,运行gradle任务 一旦应用gradle插件,请运行以下gradle任务来检查依赖关系: gradle dependencyCheckAnalyz
Dependency-Check部署及Jenkins集成OWASP Dependency-Check Plugin
weixin_44455388的博客
09-09 5377
部署Dependency-Check 1、下载Dependency-Check: https://owasp.org/www-project-dependency-check/ 2、上传服务器并解压 jenkins集成Dependency-Check 1、jenkins依次选择[Manage Jenkins]->[Manage Plugins]-[可选插件]安装OWASP Dependency-Check Plugin和Analysis Model API Plugin(安装插件过程中可能会失败
OWASP Dependency-Check 使用教程
gitblog_00882的博客
08-08 851
OWASP Dependency-Check 使用教程 DependencyCheckOWASP dependency-check is a software composition analysis utility that detects publicly disclosed vulnerabilities in application dependencies.项目地址:https://g...
OWASP Dependency-Check 使用
qq_33439829的博客
12-01 841
我们在开发过程中,通常会使用一些第三方依赖,例如: poi,fastjson,hutool等。他的原理就是, 它通过检查我们的依赖,然后对比一些公开的漏洞库。来给我们生成报告,告知我们哪些依赖是有问题的,通过这些提示,我们可以去提高依赖的版本(一般高版本会修复相关漏洞)或者更换依赖。这个是因为这个文件,因为网络问题,没自动下载下来,我们只需手动把这个文件下载下来,放到对应的位置(提示信息上有)正常情况下,需要等待10多分钟,因为在下载漏洞库。因为需要下载漏洞库的资源,所以,需要有梯子哈。
jenkins中添加sonnarqube与OWASP Dependency-Check
著名艺术家
09-20 1332
jenkins sonarqube代码检查 owasp dependency-check 漏洞扫描
使用OWASP Dependency-Check进行第三方依赖包安全扫描实践
热门推荐
富贵的博客
10-09 1万+
1、简介 OWASP是开源的、非盈利的全球性安全组织,致力于应用软件的安全研究。OWASP的使命是使应用软件更加安全,使企业和组织能够对应用安全风险作出更清晰的决策。OWASP的研究成果被美、欧、日等多个国家的32个政府与行业组织机构引用成为近百项国际法规、标准、指南和行业行为准则。 Dependency-Check是OWASP(Open Web Application Security Project)的一个实用开源程序,用于识别项目依赖项并检查是否存在任何已知的,公开披露的漏洞。目前,已支持Java、.
dependency-check-10.0.2-release.zip
07-13
Dependency-Check介绍 一、概述 Dependency-Check是由OWASP(Open Web Application Security Project)提供的一个实用开源程序,主要用于识别项目依赖项并检查是否存在任何已知的、公开披露的漏洞。这一工具在软件...
OWASP Dependency-Check工具集成
weixin_45131349的博客
02-25 2071
OWASP Dependency-Check工具集成 SonarQube 插件不执行分析,而是读取现有的 Dependency-Check 报告,先要通过Jenkins插件去执行扫描,然后sonar里面再分析报告 一、搭建本地NVD Mirror库 1、搭建nvd库: 官方提供了对应jar包来作为mirror的服务,具体github地址: https://github.com/stevespringett/nist-data-mirror/ 1)下载release jar包,如需定制请自行改写代码 2)服务
开源漏洞扫描工具(OWASP-Dependency-Check)探索
weixin_34117211的博客
04-17 8258
背景 随着公司逐渐发展壮大,网络信息安全变得越来越重要。由此激发了我们成立兴趣小组(凯京爆破小组)研究网络信息安全的欲望。然而信息安全的防范,还得从底层编码开始做起。这样依赖性扫描工具(OWASP-Dependency-Check)就进入了我们的视线,既符合我们当前的需求又使用方便简单,自然而然的成为了我们探索的对象。 简介 Dependency-Che...
Android Studio gradle插件版本和gradle版本对应关系
whj9073的专栏
08-07 9661
1、gradle插件版本配置位置: project对应的build.gradle文件中 buildscript { repositories { jcenter() } dependencies { classpath 'com.android.tools.build:gradle:1.2.3' } }
单片机介绍及使用.docx
08-27
单片机 ### 单片机系统简介 **单片机**(Microcontroller Unit,MCU)是一种集成了中央处理器 (CPU)、内存 (RAM)、非易失性存储器 (ROM/Flash)、以及输入/输出接口 (I/O) 于一体的微型计算机。与通用计算机相比,单片机更注重控制应用,被广泛应用于嵌入式系统中,用于对外部设备进行控制和监测。 #### 单片机的基本组成 1. **中央处理器 (CPU)**: - 执行程序指令,是单片机的核心组件。 - 处理各种逻辑、算术操作,以及对系统的控制指令。 2. **内存 (RAM)**: - 用于临时存储数据,如变量、计算结果等。 - 一般容量较小,断电后数据丢失。 3. **非易失性存储器 (ROM/Flash)**: - 存储固化的程序代码和初始化数据,断电后数据不丢失。 - Flash 存储器允许在系统内更新程序。 4. **输入/输出接口 (I/O)**: - 通过 GPIO(通用输入输出端口)与外部设备进行交互,如传感器、显示屏、按钮等。 5. **定时器/计数器**:
oracle数据库主机监控
08-27
oracle数据库主机监控
低压无功补偿系统硬件设计.doc
最新发布
08-27
低压无功补偿系统硬件设计.doc
Dependency-Check 能否离线使用
05-25
Dependency-Check 可以离线使用。您可以下载最新版本的 Dependency-Check 和相应的 CVE 数据文件,并在没有互联网连接的环境中运行。要离线使用,需要在命令行中使用 `--data` 选项指定本地 CVE 数据文件的路径。例如: ``` dependency-check.sh --scan /path/to/project --data /path/to/data ``` 请确保您下载的 CVE 数据文件与您使用Dependency-Check 版本兼容。您可以从官方网站下载 CVE 数据文件,也可以使用工具自动下载。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

祖然言Ariana

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值