网上经常会公布某某jar包有安全漏洞,但是我们不可能一直关注这些信息,这就需要一个插件检查maven项目里的依赖是否有安全漏洞,maven提供了这样一个插件:dependency-check-maven。
1、在pom.xml中添加plugin
我在jdk8上使用,最高能用的版本是10.0.3
<plugin>
<groupId>org.owasp</groupId>
<artifactId>dependency-check-maven</artifactId>
<version>10.0.3</version>
<configuration>
<failBuildOnCVSS>8</failBuildOnCVSS>
<autoUpdate>true</autoUpdate>
<nvdApiKey>2f218d61-d200-4e1f-8491-1fa98ac77c7b</nvdApiKey>
</configuration>
<executions>
<execution>
<goals>
<goal>check</goal>
</goals>
</execution>
</executions>
</plugin>
2、获取nvdApiKey
打开网址 NVD - API Key Request 提交申请,会在填写的邮箱中收到下发的Api Key。
写到pom.xml中
3、执行检查
执行命令 mvn dependency-check:check即可进行依赖安全性检查,failBuildOnCVSS表示失败的告警阈值,最高为10。
第一次执行的话,他的速度可能比较慢,因为他需要从NIST托管的国家漏洞数据库下载漏洞数据到本地备份库。
如果执行出现错误 Failed to initialize the RetireJS repo,可以手工下载 jsrepository.json 然后拷贝到 Maven本地私仓路径 \org\owasp\dependency-check-data 中对应版本的目录下。
如果执行出现错误 UnkownHostException: raw.githubusercontent.com,访问网站ip反查网站,查询到 raw.githubusercontent.com对应的ip,配置到hosts中可以解决。
4、检查结果
执行结果中将展示危险度大于failBuildOnCVSS的依赖。
在target目录下产生dependency-check-report.html文件,通过浏览器即可打开查看。
点击每个链接可以查看具体的漏洞信息描述
有一些依赖不是直接依赖,通过mvn dependency:tree命令可以查看依赖树,为传递依赖添加exclusion,并添加没有安全问题的依赖。