要注意maven各类第三方插件中的安全漏洞

最新推荐文章于 2024-03-30 09:54:35 发布
最新推荐文章于 2024-03-30 09:54:35 发布
阅读量960 收藏 1
点赞数
文章标签: 信息安全 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/jackyrongvip/article/details/105609976
版权

1、比如,在下面这个分析结果中,通过mvn dependency:analyze的分析,我们发现了
JUnit 和 Logback 这类“虽然被引用但却没有被使用”的插件。既然没有被使用,那我们
就可以很放心地进行删除了。
第二步:管理插件补丁更新
一旦某个插件出现漏洞,通常插件的运维方都会尽快推出补丁。有的公司还会设立专门的部
门和人员进行补丁管理的工作。一旦出现漏洞和补丁,公司会先评估漏洞的严重性,然后设
定打补丁的优先级,推动研发人员进行更新操作。
所以,建立插件防护体系的第二步,就是要知道你有哪些插件需要更新。但是,在实际工作
中一个应用随便就依赖几十个插件,你当然没办法一个一个去查询插件的更新状态了。那
 Version Maven Plugin就是用来帮你检查版本更新的一个工具。你可以看到,在下面的
分析结果中,通过mvn version:display-dependency-updates这个命令,我们就能
发现 JUnit 有一个新的 4.11 版本。
[INFO] --- maven-dependency-plugin:2.8:analyze (default-cli) @ client ---
[WARNING] Unused declared dependencies found:
[WARNING] junit:junit:jar:4.11:test
[WARNING] ch.qos.logback:logback-classic:

2、管理第三方插件的更新
    安装:

在实际工作
中一个应用随便就依赖几十个插件,你当然没办法一个一个去查询插件的更新状态了。那
 Version Maven Plugin(https://www.mojohaus.org/versions-maven-plugin/)就是用来帮你检查版本更新的一个工具。你可以看到,在下面的
分析结果中,通过mvn version:display-dependency-updates这个命令,我们就能
发现 JUnit 有一个新的 4.11 版本。
mvn versions:display-plugin-updates versions:display-dependency-updates

3 把插件和公开的漏洞库做对比:
    (https://owasp.org/www-project-dependency-check/
  OWASP Dependency-Check是一款专门进行插件漏洞检测的工具。它会将工程内的插
件和公开的漏洞库进行比对。最终,会生成一个网页形式的报告,使你对工程中的插件漏洞
一目了然了。
 

jackyrongvip
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Maven优雅的添加第三方Jar的方法
08-29
下面小编就为大家带来一篇Maven优雅的添加第三方Jar的方法。小编觉得挺不错的,现在就分享给大家,也给大家做个参考。一起跟随小编过来看看吧
漏洞遮盖清除Maven插件Maven过程清除项目所有第三方Jar漏洞
03-02
Java项目往往会使用很多第三方类库或开源类库。在完成项目开发,并准备上线时,经常需要做漏洞扫描。一旦扫描出的上千的漏洞往往会让我们不知所措。如果上线要求非常严格,针对漏扫结果,我们需要逐个jar查找有没有对应的升级或补丁。而即便我们找到了升级Jar,在升级过程也可能遇到版本不兼容的情况,甚至导致整个系统无法运行。 事实上,对于局域网类项目,或者内部网络已经做了严格的安全防护措施,甚至于各种端口全部关闭的情况下,单个软件的漏扫并不能说明太大问题。 但为了满足漏扫规定,我们仍然需要处理,这里提供一种快速的清除项目安全漏洞的方法。需要特别说明的是本插件仅仅针对我们项目打出的Jar清除了漏扫特征文件,使漏扫软件无法扫描出安全漏洞,并未进行事实上的软件升级或任何填补漏洞的工作,请您要特别注意这一点。
mosec-maven-plugin:用于检测maven项目的第三方依赖组件是否存在安全漏洞
02-05
莫斯蒙面插件 用于检测maven项目的第三方依赖组件是否存在安全漏洞。 该项目是基于的二次开发。 关于我们 网址: : 微信: 版本要求 Maven> = 3.1 安装 向pom.xml添加plugin仓库(项目级安装) <!-- pom.xml --> < pluginRepositories> < pluginRepository> < id>gh</ id> < url>https://raw.githubusercontent.com/momosecurity/mosec-maven-plugin/master/mvn-repo/</ u
maven第三方仓库配置
05-20
maven第三方仓库配置
推荐开源项目:XJar-Maven-Plugin - 构建安全且可加密的Java项目
最新发布
gitblog_00046的博客
03-30 315
推荐开源项目:XJar-Maven-Plugin - 构建安全且可加密的Java项目 项目地址:https://gitcode.com/core-lib/xjar-maven-plugin 在Java开发领域,我们经常需要使用Maven构建工具进行项目的打和管理依赖。然而,如何保护我们的代码和资源不被轻易反编译或者篡改?XJar-Maven-Plugin 正是为了解决这个问题而生,它是一款强大的...
dependency-check-maven安全漏洞扫描工具介绍
热门推荐
太空眼睛的专栏
05-03 1万+
目录dependency-check-maven安全漏洞扫描工具介绍dependency-check-maven插件重点参数解析运行命令检查单个maven工程安全漏洞检查多个maven子工程汇总一个报告扫描报告示例 dependency-check-maven安全漏洞扫描工具介绍 dependency-check官网下载地址: https://owasp.org/www-project-dependency-check 这个工具支持多种方式,本文主要介绍使用maven插件的使用方式 dependency-c
11 | 插件漏洞:我的代码看起来很安全,为什么还会出现漏洞?
08-18 7988
在讲反序列化漏洞的时候,我们说过,这个漏洞其实就存在于 Fastjson、Jackson 等知名的 JSON 解析库,跟你自己写的代码没有太多关系,所以极难掌控。也就是说,在开发应用的过程,尽管你的代码很安全了,黑客还是能够通过插件漏洞对应用发起攻击(我文提到的插件,是第三方插件、依赖库、工具和框架等的统称)。 说到这儿,想不想测试一下你的插件是否安全?在这里,我准备了几个问题,你可以看看自己是否对所用的插件了如指掌。 你所使用的所有插件的版本是什么?(括前端和后端,直接引用和间接引用) 你所.
springboot maven项目漏洞排查修复过程记录(个人笔记)
wangjw.bug
04-10 1905
在项目交付后往往会遇到第三方检测机构或者公司内部在交付之前进行的系统安全漏洞检测,本文章记录一次sprinboot maven项目的漏洞排查修复过程。
maven检查是否有新依赖/插件的方法
走马行酒醴,驱车布鱼肉
02-01 2830
maven是现在最流行的项目管理工具,在企业使用的非常广泛。 在一个maven管理的项目,一般会配置很多依赖、插件,如何检查这些依赖是否有最新的版本? 除了去这些框架的官方网站上看,maven也自带了检查最新版本的方法 就是使用version插件versions-maven-plugin versions:display-dependency-updates scans a p
maven升级漏洞依赖jar
翱翔于知识的天空
12-06 7945
如果只是想打印当前项目的依赖树,最简单的方法就在在该项目(含pom)的目录下执行maven命令,要注意的点是:1.执行的目录下必须含pom文件,且多模块的要在父pom所在目录下执行;2.需要在powershell下执行(idea里支持) 如果想打印出来并放到一个文件里,那么可以在项目目录下执行该命令 执行完上述命令后,就可以到对应目录下找到那个文件,里面就是你项目里的所有依赖。 这里简单提供一个解析上面txt的文件并转成xml的代码 2.判断依赖是否有漏洞 上maven仓库上搜索对应的artifac
maven第三方jar且把pom依赖打入进来的方法
08-26
主要介绍了maven第三方jar且把pom依赖打入进来的方法,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
数亿下载量的npm被“投毒”,前端开源将如何?
CSDN资讯
03-18 6910
开发者以node-ipc进行供应链投毒,再次引发安全问题大讨论
持续交付之软件管理maven
imherer的博客
11-18 539
背景 持续交付的我们常见的流程如下,其有一个环节就是软件管理今天我们以maven仓库为示例,如下是Jenkins与CD生态:持续交付的示例5 Principles 五个原则Deliver fastAutomate almost everythingKeep everything in version controlBuild quality InEmpower the teamNEXUS介绍Nexus为软件组件管理工具,通过软件开发周期的自动化管理,可以有效管理与控制组件,让管理更加智能化。目...
开源软件的安全性风险_认真对待开源安全性
weixin_26636643的博客
09-27 908
开源软件的安全性风险 曾叱咤风云的 (A Blast From the Past) 2019 was a crazy time to be writing software. It's hard to believe how careless we were as an industry. Everyone was just having fun slinging code. Companies ...
maven优化依赖常用命令
程序媛一枚
12-03 633
1、查看依赖树,解决依赖jar冲突问题 定位到项目的根目录,比如:basicInfo项目:cd C:\Users\15732\Desktop\my\program\basicInfo 查看依赖树命令如下: mvn dependency:tree 2、导出依赖树到TXT文件 执行导出命令,可将依赖树导出到与项目同目录下的TXT文件Mvn dependen
Versions Maven Plugin 的用法
爱路宝7A
07-13 705
Versions Maven Plugin 项目版本号管理,尤其是多模块项目的版本号变更。Spring Boot 依赖已经含了该插件,无须再次引入。
maven 依赖模块最新版本查看更新命令。
weixin_30340617的博客
04-25 614
mvn versions:display-dependency-updates 转载于:https://www.cnblogs.com/tietazhan/p/6763392.html
maven 内网依赖引入报错 无法使用
一起来摸鱼
01-12 1902
一、确保maven安装 和设置正常 把work offline 勾选上 确保maven为离线模式,不然有Jar也会去更新依赖版本 把always update 去掉 确保setting里面正常设置了本地仓库地址 local repository 是否指向了本地仓库 二、确保依赖存在 去仓库查看是否存在对应的依赖文件 版本号是否对应 三、maven依赖删除多余 没用的文件 依赖会因为下载 更新 保留信息等多种原因会存一下影响导入的文件 使用以下脚本将文件删除 删除含lastUpdated的文
log4j2漏洞升级遇到的坑
嘻哈熊的专栏
12-29 1538
项目场景: 最近爆发的log4j2的漏洞,导致各种老旧项目的log4j2版本需要升级到2.17.0 问题描述: 使用IDEA的Maven Helper插件,将log4j2的2.X版本全部屏蔽掉,然后引入2.17.0版本,结果报错显示如下信息 org/slf4j/impl/StaticLoggerBinder : Unsupported major.minor version 52.0 原因分析: 看见 version 52.0 的信息,第一反应是JDK版本不对,结果去改了pom.xm
maven parent和第三方有依赖冲突
06-13
Maven Parent和第三方有依赖冲突时,可以采取以下解决方法: 1. 排除冲突依赖:在pom.xml,通过标签排除冲突的依赖项,这样就可以使用需要的依赖项。 2. 更新依赖版本:检查冲突依赖项的版本,使用最新的...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值