maven依赖安全检查插件dependency-check-maven使用

网上经常会公布某某jar包有安全漏洞,但是我们不可能一直关注这些信息,这就需要一个插件检查maven项目里的依赖是否有安全漏洞,maven提供了这样一个插件:dependency-check-maven

1、在pom.xml中添加plugin

我在jdk8上使用,最高能用的版本是10.0.3

<plugin>
				    <groupId>org.owasp</groupId>
				<artifactId>dependency-check-maven</artifactId>
				<version>10.0.3</version>
				<configuration>
					<failBuildOnCVSS>8</failBuildOnCVSS>
					<autoUpdate>true</autoUpdate>
					<nvdApiKey>2f218d61-d200-4e1f-8491-1fa98ac77c7b</nvdApiKey>
				</configuration>
				<executions>
                    <execution>
                        <goals>
                            <goal>check</goal>
                        </goals>
                    </execution> 
                </executions>
			</plugin>

2、获取nvdApiKey

打开网址 NVD - API Key Request  提交申请,会在填写的邮箱中收到下发的Api Key。

写到pom.xml中

3、执行检查

执行命令 mvn dependency-check:check即可进行依赖安全性检查,failBuildOnCVSS表示失败的告警阈值,最高为10。

第一次执行的话,他的速度可能比较慢,因为他需要从NIST托管的国家漏洞数据库下载漏洞数据到本地备份库。

如果执行出现错误 Failed to initialize the RetireJS repo,可以手工下载 jsrepository.json 然后拷贝到 Maven本地私仓路径 \org\owasp\dependency-check-data 中对应版本的目录下。

如果执行出现错误 UnkownHostException: raw.githubusercontent.com,访问网站ip反查网站,查询到 raw.githubusercontent.com对应的ip,配置到hosts中可以解决。

4、检查结果

执行结果中将展示危险度大于failBuildOnCVSS的依赖。

在target目录下产生dependency-check-report.html文件,通过浏览器即可打开查看。

点击每个链接可以查看具体的漏洞信息描述

有一些依赖不是直接依赖,通过mvn dependency:tree命令可以查看依赖树,为传递依赖添加exclusion,并添加没有安全问题的依赖。

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值