maven依赖安全检查插件dependency-check-maven使用

最新推荐文章于 2025-02-21 17:11:50 发布
最新推荐文章于 2025-02-21 17:11:50 发布
阅读量646 收藏 2
点赞数 3
文章标签: maven java 依赖安全 dependencycheck
原文链接:https://blog.csdn.net/catoop/article/details/142031992
版权

网上经常会公布某某jar包有安全漏洞,但是我们不可能一直关注这些信息,这就需要一个插件检查maven项目里的依赖是否有安全漏洞,maven提供了这样一个插件:dependency-check-maven

1、在pom.xml中添加plugin

我在jdk8上使用,最高能用的版本是10.0.3

<plugin>
				    <groupId>org.owasp</groupId>
				<artifactId>dependency-check-maven</artifactId>
				<version>10.0.3</version>
				<configuration>
					<failBuildOnCVSS>8</failBuildOnCVSS>
					<autoUpdate>true</autoUpdate>
					<nvdApiKey>2f218d61-d200-4e1f-8491-1fa98ac77c7b</nvdApiKey>
				</configuration>
				<executions>
                    <execution>
                        <goals>
                            <goal>check</goal>
                        </goals>
                    </execution> 
                </executions>
			</plugin>

2、获取nvdApiKey

打开网址 NVD - API Key Request  提交申请,会在填写的邮箱中收到下发的Api Key。

写到pom.xml中

3、执行检查

执行命令 mvn dependency-check:check即可进行依赖安全性检查,failBuildOnCVSS表示失败的告警阈值,最高为10。

第一次执行的话,他的速度可能比较慢,因为他需要从NIST托管的国家漏洞数据库下载漏洞数据到本地备份库。

如果执行出现错误 Failed to initialize the RetireJS repo,可以手工下载 jsrepository.json 然后拷贝到 Maven本地私仓路径 \org\owasp\dependency-check-data 中对应版本的目录下。

如果执行出现错误 UnkownHostException: raw.githubusercontent.com,访问网站ip反查网站,查询到 raw.githubusercontent.com对应的ip,配置到hosts中可以解决。

4、检查结果

执行结果中将展示危险度大于failBuildOnCVSS的依赖。

在target目录下产生dependency-check-report.html文件,通过浏览器即可打开查看。

点击每个链接可以查看具体的漏洞信息描述

有一些依赖不是直接依赖,通过mvn dependency:tree命令可以查看依赖树,为传递依赖添加exclusion,并添加没有安全问题的依赖。

智慧的牛
关注
代码依赖包漏洞检查maven插件dependency-check-maven。通过这个插件可以扫描出项目中是否依赖已经存在的安全漏洞包
grass2114的专栏
01-28 2481
漏洞检查maven插件dependency-check-maven
maven使用Dependency-Check来扫描安全漏洞
HBLOG
12-19 1393
OWASP Dependency-Check 是一个开源工具,旨在帮助开发人员识别项目中使用的库和组件的已知漏洞。它通过扫描项目的依赖项,生成详细的报告,帮助团队及时发现并修复安全问题。该工具支持多种编程语言和构建工具,包括 Java、.NET、Node.js 等。
MavenDependencyCheck:在基于Maven的项目上运行依赖检查的自动化脚本
02-05
MavenDependencyCheck 在基于Maven的项目上运行的自动化脚本。 该脚本基本上克隆给定的存储库,并使用maven构建它们。 成功后,它将对它们进行依赖性检查并生成报告 要求 Python模块: & Maven:安装说明可在找到 包含要运行的用于克隆项目的git命令 repo.conf示例命令 git clone https://github.com/elderstudios/uni-dvwa-spring.git 用法 python depcheck.py 让脚本发挥作用 经过测试并在带有Python 2.7.5的CentOS Linux版本7.6.1810(
dependency-check-12.1.0 更新漏洞库报错处理
最新发布
GalaxySpaceX的博客
02-21 819
dependency-check-12.1.0 更新漏洞库报错处理
Maven 依赖漏洞扫描检查插件 dependency-check-maven使用
小单的博客专栏
09-08 1276
在现代软件开发中,开源库的使用愈加普遍,然而这些开源库中的漏洞往往会成为潜在的安全风险。如何及时的发现依赖的第三方库是否存在漏洞,就变成很重要了。本文向大家推荐一款可以进行依赖包漏洞检查的 maven 插件 dependency-check-maven。通过这个插件可以扫描出项目中是否依赖已经存在的安全漏洞包及对应版本。
想通过maven 运行dependency-check的小伙伴必看!详解dependency-check-maven 插件的高效参数配置
liwenxiang629的博客
01-07 1083
本文将介绍如何在maven项目中使用dependency-check-maven插件,并具体解释各个参数的含义。
使用dependency-check-maven对项目进行漏洞检查
SQF2404的博客
10-28 1万+
最近,公司安排对所开发项目进行漏洞检查,使用的就是开源扫描工具 OWASP Dependency-Check使用方式有多种,鉴于项目是用maven进行管理的,我使用的是maven插件的方式,使用方式很简单,把大象装冰箱总共分3步,这里使用maven插件只需2步即可。 1、.在pom.xml增加dependency-check-maven插件的配置,如下: <plugin> <groupId>org.owasp</g
本地开发环境Maven方法使用dependency-check依赖扫描
进击的小白
05-04 2364
场景 方便本地进行项目依赖组件的版本安全扫描 方案 使用dependency-check-maven组件进行工程扫描,在pom中增加dependency-check-maven依赖插件命令 <dependencies> .... <dependency> <groupId>org.owasp</groupId> <artifactId>depen
dependency-check-7.1.1-release
06-27
3. 将dependency-check集成到CI/CD流程,确保每次代码变更后都会进行安全检查。 4. 对于检测出的漏洞,及时更新受影响的依赖库到安全版本。 5. 如果遇到误报,可以使用dependency-check的排除机制来过滤掉这些错误。...
dependency-check-gradle:依赖项检查gradle插件使项目可以监视依赖库中的已知已发布漏洞
04-30
依赖项检查gradle插件允许项目监视从属库是否存在已知的已发布漏洞。 当前的版本 最新版本是 用法 以下是快速入门说明。 请参阅以获取有关配置和用法的更多详细信息。 第1步,应用依赖项检查Gradle插件Maven中央...
maven-dependency-versions-check-plugin-2.0.2-sources.jar
03-10
maven-dependency-versions-check-plugin-2.0.2-sources.jar
dependency-check-6.2.2-release.zip
08-10
依赖检查(Dependency Check)是开源组件扫描工具的代表之一,版本为6.2.2。这个工具主要用于识别和管理软件项目中的开源组件及其潜在的安全漏洞。在软件开发过程中,使用开源组件可以极大地提高效率,但同时也引入...
maven-dependency-versions-check-plugin-1.0.0.jar
03-10
maven-dependency-versions-check-plugin-1.0.0.jar
dependency-check-maven
Mr.Lv的博客
10-19 411
一款用于进行maven依赖漏洞检测的插件,可以生成依赖安全漏洞检测报告。引入插件 → 刷新maven → 双击检查 → 生成报告 → 查看报告。
dependency-check-maven安全漏洞扫描工具介绍
热门推荐
Java技术栈,分享不断学习、不断超越、不断积累的历程!
05-03 1万+
目录dependency-check-maven安全漏洞扫描工具介绍dependency-check-maven插件重点参数解析运行命令检查单个maven工程安全漏洞检查多个maven子工程汇总一个报告扫描报告示例 dependency-check-maven安全漏洞扫描工具介绍 dependency-check官网下载地址: https://owasp.org/www-project-dependency-check 这个工具支持多种方式,本文主要介绍使用maven插件使用方式 dependency-c
使用dependency-check-maven插件,对imes项目的maven依赖进行安全扫描
weixin_44074560的博客
08-13 175
1.https://blog.csdn.net/lizz861109/article/details/120744594 2.https://blog.csdn.net/SQF2404/article/details/121018810 3.https://blog.csdn.net/liwenxiang629/article/details/109453335
Dependency-Check
qq_45370296的博客
09-21 1319
安装Dependency-Check有很多种方式,如构建工具插件、持续集成/持续交付(CI/CD)集成、Docker 集成、IDE 集成、自定义脚本、REST API,我一般会使用Maven构建项目,将Dependency-Check添加为Maven插件Dependency-Check是一个用于检测应用程序的依赖项(项目中引入的各种库、框架和软件包)中是否存在已知漏洞的工具。执行完成后,可以在生成的报告中查看依赖项的漏洞信息。Dependency-Check 插件将会执行漏洞检查,并生成相应的报告。
dependency-check-maven依赖漏洞扫描
Xiaojia_guniang的博客
07-23 421
改autoUpdate参数。
maven-dependency-versions-check-plugin, Maven 插件查找依赖版本冲突
weixin_38168547的博客
09-25 611
1、maven-dependency-versions-check-plugin, Maven 插件查找依赖版本冲突 转载于:https://www.cnblogs.com/yixiu868/p/11583582.html
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值