推荐一款代码依赖包安全漏洞检查插件

已于 2022-05-10 10:08:24 修改
阅读量1.6k 收藏
点赞数
文章标签: github java spring boot
于 2022-05-10 09:45:08 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/kingwinstar/article/details/123989655
版权
本文介绍了如何使用dependency-check-maven Maven插件来检测项目中的安全漏洞。通过在pom.xml中配置插件并执行特定命令,可以扫描项目依赖并生成报告。遇到问题如'Failed to initialize the RetireJS repo'时,可以通过下载jsrepository.json解决。最终,分析生成的HTML报告可查看详细漏洞信息。
摘要由CSDN通过智能技术生成

前言

今天向大家推荐一款代码依赖包漏洞检查maven插件–dependency-check-maven。通过这个插件可以扫描出项目中是否依赖已经存在的安全漏洞包

如何使用

前置条件:该插件需要使用maven 3.1或更高版本

1、在项目pom引入dependency-check-maven插件 GAV

  <build>
        <plugins>
            <plugin>
                <groupId>org.owasp</groupId>
                <artifactId>dependency-check-maven</artifactId>
                <version>7.0.0</version>
                <configuration>
                    <autoUpdate>true</autoUpdate>
                </configuration>
                <executions>
                    <execution>
                        <goals>
                            <goal>check</goal>
                        </goals>
                    </execution>
                </executions>
            </plugin>
        </plugins>
    </build>

2、切换到项目的target目录,执行mvn dependency-check:check

注: 如果是idea,可以直接如下,右键运行


第一次执行的话,他的速度会挺慢的,因为他需要从NIST托管的国家漏洞数据库下载漏洞数据到本地备份库。

在执行的过程中,可能会出现

Failed to initialize the RetireJS repo

解决的办法

下载jsrepository.json并将该文件放到maven私仓地址\org\owasp\dependency-check-data\7.0目录下

执行完毕后,会在target目录下产生dependency-check-report.html文件

3、通过浏览器打开dependency-check-report.html


点击相应的链接信息,可以查看相应的漏洞描述

总结

本文简单的介绍一下如何利用dependency-check-maven插件来检查代码依赖包安全漏洞。相关详细用法,可以查看如下链接
https://jeremylong.github.io/DependencyCheck/dependency-check-maven/index.html

demo链接

https://github.com/lyb-geek/springboot-learning/tree/master/springboot-git-commit

linyb极客之路
关注
发现一款牛逼的 IDEA 插件:检测代码漏洞,一键修复
代码界的扛把子
03-31 1827
插件作为Java项目静态代码安全审计工具,侧重于在编码过程中发现项目潜在的安全风险,并提供一键修复能力。 本插件利用IDEA原生Inspection机制检查项目,自动检查当前活跃窗口的活跃文件,检查速度快,占用资源少。 插件提供的规则名称均以"Momo"开头。 版本支持 Intellij IDEA ( Community / Ultimate ) >= 2017.3 IDEA 香是香,可能你会说用它要收费,其实它也有开源的社区版本,收费的专业版也很容易申请到激活码。 安装使用 IDEA
使用DependencyCheck工具检测JAR依赖安全漏洞
晓郎编程
05-04 2024
Dependency-Check 是一款开源工具,用于检测软件项目中第三方库和组件的安全漏洞。通过分析项目依赖关系,它与已知漏洞数据库比对,发现存在漏洞的依赖项,并提供修复建议,帮助团队及时解决安全风险,提升软件安全性。
发现一款牛逼的IDEA插件:检测代码漏洞,一键修复!
Java笔记虾
01-23 4393
插件作为Java项目静态代码安全审计工具,侧重于在编码过程中发现项目潜在的安全风险,并提供一键修复能力。本插件利用IDEA原生Inspection机制检查项目,自动检查当前活跃窗口的活...
dependency-check-gradle:依赖检查gradle插件使项目可以监视依赖库中的已知已发布漏洞
04-30
依赖检查等级 依赖检查gradle插件允许项目监视从属库是否存在已知的已发布漏洞。 当前的版本 最新版本是 用法 以下是快速入门说明。 请参阅以获取有关配置和用法的更多详细信息。 第1步,应用依赖检查Gradle插件 从Maven中央仓库安装 buildscript { repositories { mavenCentral() } dependencies { classpath ' org.owasp:dependency-check-gradle:6.1.5 ' } } apply plugin : ' org.owasp.dependencycheck ' 步骤2,运行gradle任务 一旦应用gradle插件,请运行以下gradle任务来检查依赖关系: gradle dependencyCheckAnalyz
Maven 依赖漏洞扫描检查插件 dependency-check-maven 的使用
最新发布
小单的博客专栏
09-08 631
在现代软件开发中,开源库的使用愈加普遍,然而这些开源库中的漏洞往往会成为潜在的安全风险。如何及时的发现依赖的第三方库是否存在漏洞,就变成很重要了。本文向大家推荐一款可以进行依赖漏洞检查的 maven 插件 dependency-check-maven。通过这个插件可以扫描出项目中是否依赖已经存在的安全漏洞及对应版本。
使用Maven程序集创建漏洞评估工件
最佳 Java 编程
05-18 153
本文将讨论如何使用Maven程序集创建可提供给第三方漏洞评估站点(例如Veracode )进行审查的工件。 错误的静态分析与漏洞评估 在这一点上,每个人都知道findbug并虔诚地使用它,对吗? 对? Findbugs使用静态分析来查找错误。 更准确地说,它使用静态分析来查找可以通过静态分析发现的错误。 例如,我看到了一种常见的模式 public void foo(Object...
spring dependency-check 替代
qq_33291307的博客
02-23 835
https://blog.csdn.net/arvinrong/article/details/7763180 参考
jsrepository.json
08-12
owasp-dependency-check扫描工具data目录下jsrepository.json文件
d盾,代码扫描工具,可以扫描文件 java代码 war漏洞!
05-09
"d盾"是一款专为开发者设计的代码扫描工具,它能有效帮助检测和预防Java代码以及WAR中的安全漏洞。这款工具的强大之处在于其对代码质量的严格把关,确保了应用程序在上线运行前能够得到全面的安全检查。 【描述】...
一款牛逼的IDEA插件:检测代码漏洞
程序媛小琬的博客
04-06 3201
前言 本插件作为Java项目静态代码安全审计工具,侧重于在编码过程中发现项目潜在的安全风险,并提供一键修复能力。 本插件利用IDEA原生Inspection机制检查项目,自动检查当前活跃窗口的活跃文件,检查速度快,占用资源少。 插件提供的规则名称均以"Momo"开头。 版本支持 Intellij IDEA ( Community / Ultimate ) >=2017.3 IDEA香是香,可能你会说用它要收费,其实它也有开源的社区版本,收费的专业版也很容易申请到激活码。 安装使用 IDEA插件市场搜
lein-nvd:Leiningen的国家漏洞数据库依赖检查插件
01-31
lein-nvd是针对Leiningen构建工具的一个插件,它的主要功能是进行国家漏洞数据库(National Vulnerability Database, NVD)的依赖检查。这个插件对于使用Clojure编程语言的开发者来说尤其重要,因为它可以帮助他们...
北京化工大学-线性系统
03-24
北京化工大学-线性系统 PPT 为报考化工大学提供资料由王建林老师主讲
CI/DI (四)OWASP Dependency-Check python
weixin_50750933的博客
08-17 830
Dependency-Check python
repo init失败的几种解决方法
热门推荐
winsun的专栏
03-04 2万+
试了几天,终于解决了同步repo init失败的问题。谨此记录一下。希望对读者有用。 由于每个人的情况都不一样。所以我这里会列举我尝试的所有方法。 注意repo sync的问题不在本文讨论的范围内。 环境说明: mac,10.15 0S, git 成功的结果: 目录下有.repo文件夹。在这个文件夹下含: manifest.xml repo,文件夹 manifests.git,文件夹 mani...
PHP质量工具系列之 Owasp Dependency-Check
made4971的博客
05-22 995
目前,已支持Java、.NET、Ruby、Node.js、Python等语言编写的程序,并为C/C++构建系统(autoconf和cmake)提供了有限的支持。扫描完成后会在 -o 指定的目录生成dependency-check-report.html, 流缆该页面查看结果。直接覆盖掉 ./dependency-check/data/jsrepository.json 里面的内容即可。不扫描net程序,启用该选项,否则报错如下,若需要扫描.net程序,直接安装.net Framework即可。
android studio 3.0 添加依赖出现 Unable to resolve dependency for:xxx的报错
犟驴的博客
11-30 1050
Mac 版:Go to androidStudio—&gt;Preference-&gt;Build, Execution, Deployment-&gt;Gradle-&gt;取消 Offline work option 的选择
javascript实现json数据转文件,并下载
一些coding知识记录
06-09 3105
将获取到的json数据,使用JSON.stringify转化为字符串,并以data:的形式传给a标签,通过触发a标签的点击事件,最终实现文件下载。简单实现前端json数据,以文件的形式,下载到本地。
dependency-check-maven安全漏洞扫描工具介绍
Java技术栈,分享不断学习、不断超越、不断积累的历程!
05-03 1万+
目录dependency-check-maven安全漏洞扫描工具介绍dependency-check-maven插件重点参数解析运行命令检查单个maven工程安全漏洞检查多个maven子工程汇总一个报告扫描报告示例 dependency-check-maven安全漏洞扫描工具介绍 dependency-check官网下载地址: https://owasp.org/www-project-dependency-check 这个工具支持多种方式,本文主要介绍使用maven插件的使用方式 dependency-c
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值