推荐一款代码依赖包安全漏洞检查插件

已于 2022-05-10 10:08:24 修改
阅读量1.4k 收藏
点赞数
文章标签: github java spring boot
于 2022-05-10 09:45:08 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/kingwinstar/article/details/123989655
版权

前言

今天向大家推荐一款代码依赖包漏洞检查maven插件–dependency-check-maven。通过这个插件可以扫描出项目中是否依赖已经存在的安全漏洞包

如何使用

前置条件:该插件需要使用maven 3.1或更高版本

1、在项目pom引入dependency-check-maven插件 GAV

  <build>
        <plugins>
            <plugin>
                <groupId>org.owasp</groupId>
                <artifactId>dependency-check-maven</artifactId>
                <version>7.0.0</version>
                <configuration>
                    <autoUpdate>true</autoUpdate>
                </configuration>
                <executions>
                    <execution>
                        <goals>
                            <goal>check</goal>
                        </goals>
                    </execution>
                </executions>
            </plugin>
        </plugins>
    </build>

2、切换到项目的target目录,执行mvn dependency-check:check

注: 如果是idea,可以直接如下,右键运行


第一次执行的话,他的速度会挺慢的,因为他需要从NIST托管的国家漏洞数据库下载漏洞数据到本地备份库。

在执行的过程中,可能会出现

Failed to initialize the RetireJS repo

解决的办法

下载jsrepository.json并将该文件放到maven私仓地址\org\owasp\dependency-check-data\7.0目录下

执行完毕后,会在target目录下产生dependency-check-report.html文件

3、通过浏览器打开dependency-check-report.html


点击相应的链接信息,可以查看相应的漏洞描述

总结

本文简单的介绍一下如何利用dependency-check-maven插件来检查代码依赖包安全漏洞。相关详细用法,可以查看如下链接
https://jeremylong.github.io/DependencyCheck/dependency-check-maven/index.html

demo链接

https://github.com/lyb-geek/springboot-learning/tree/master/springboot-git-commit

linyb极客之路
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
发现一款牛逼的 IDEA 插件:检测代码漏洞,一键修复
代码界的扛把子
03-31 1765
插件作为Java项目静态代码安全审计工具,侧重于在编码过程中发现项目潜在的安全风险,并提供一键修复能力。 本插件利用IDEA原生Inspection机制检查项目,自动检查当前活跃窗口的活跃文件,检查速度快,占用资源少。 插件提供的规则名称均以"Momo"开头。 版本支持 Intellij IDEA ( Community / Ultimate ) >= 2017.3 IDEA 香是香,可能你会说用它要收费,其实它也有开源的社区版本,收费的专业版也很容易申请到激活码。 安装使用 IDEA
dependency-check-gradle:依赖检查gradle插件使项目可以监视依赖库中的已知已发布漏洞
04-30
依赖检查等级 依赖检查gradle插件允许项目监视从属库是否存在已知的已发布漏洞。 当前的版本 最新版本是 用法 以下是快速入门说明。 请参阅以获取有关配置和用法的更多详细信息。 第1步,应用依赖检查Gradle插件 从Maven中央仓库安装 buildscript { repositories { mavenCentral() } dependencies { classpath ' org.owasp:dependency-check-gradle:6.1.5 ' } } apply plugin : ' org.owasp.dependencycheck ' 步骤2,运行gradle任务 一旦应用gradle插件,请运行以下gradle任务来检查依赖关系: gradle dependencyCheckAnalyz
spring dependency-check 替代
qq_33291307的博客
02-23 815
https://blog.csdn.net/arvinrong/article/details/7763180 参考
【送书活动第1期】2024最新!依赖扫描神器Trivy的详细使用教程(Jar/Maven/docker images镜像)(文末送书)
面向感觉挖洞,背向对象编程。欢迎关注VX公众号:EureKa安全团队
04-22 2170
Trivy是一款全面的多功能安全扫描器。Trivy 扫描器可以查找安全问题,并能在发现问题的地方锁定目标。可以扫描javax项目依赖,支持jar依赖扫描以及docker镜像扫描,非常方便,利于安全人员进行代码审计,推动漏洞修复或者渗透测试。
jsrepository.json
08-12
owasp-dependency-check扫描工具data目录下jsrepository.json文件
CI/DI (四)OWASP Dependency-Check python
weixin_50750933的博客
08-17 722
Dependency-Check python
Seay PHP代码审计工具2.1公测版.rar
最新发布
05-31
代码审计:自动化审计功能帮助检测常见的安全漏洞,如SQL注入、代码执行、命令执行等。 插件扩展:可能支持通过插件扩展审计功能。 自定义规则:允许用户配置自定义的审计规则。 代码调试:可能代码调试功能,...
JAVA上百实例源码以及开源项目源代码
09-17
 WDSsoft的一款免费源代码 JCT 1.0,它是一个Java加密解密常用工具Java局域网通信——飞鸽传书源代码 28个目标文件 内容索引:JAVA源码,媒体网络,飞鸽传书  Java局域网通信——飞鸽传书源代码,大家都知道VB...
java开源1
06-28
GWT Spring 使得在 Spring 框架下构造 GWT 应用变得很简单,提供一个易于理解的依赖注入和RPC机制。 Java扫雷游戏 JVMine JVMine用Applets开发的扫雷游戏,可在线玩。 public class JVMine extends java.applet....
java开源8
06-28
GWT Spring 使得在 Spring 框架下构造 GWT 应用变得很简单,提供一个易于理解的依赖注入和RPC机制。 Java扫雷游戏 JVMine JVMine用Applets开发的扫雷游戏,可在线玩。 public class JVMine extends java.applet....
repo init失败的几种解决方法
热门推荐
winsun的专栏
03-04 2万+
试了几天,终于解决了同步repo init失败的问题。谨此记录一下。希望对读者有用。 由于每个人的情况都不一样。所以我这里会列举我尝试的所有方法。 注意repo sync的问题不在本文讨论的范围内。 环境说明: mac,10.15 0S, git 成功的结果: 目录下有.repo文件夹。在这个文件夹下含: manifest.xml repo,文件夹 manifests.git,文件夹 mani...
Gradle-License-Report:一个使用Gradle生成有关第三方软件许可报告的插件
05-12
Gradle许可报告 一个插件,用于为您的Gradle项目生成有关依赖项许可证的报告。 该插件将解决您的所有依赖关系,然后搜寻与相关许可信息类似的任何内容。 理论上是自动生成一份报告,您可以将该报告交给公司知识产权律师,以使他们保持忙碌状态。 用法 将此添加到您的build.gradle文件中: plugins { id ' com.github.jk1.dependency-license-report ' version ' 1.16 ' } 或通过buildscript块 buildscript { repositories { maven { url ' https://plugins.gradle.org/m2/ ' } } dependencies { classpath
北京化工大学-线性系统
03-24
北京化工大学-线性系统 PPT 为报考化工大学提供资料由王建林老师主讲
javascript实现json数据转文件,并下载
一些coding知识记录
06-09 2661
将获取到的json数据,使用JSON.stringify转化为字符串,并以data:的形式传给a标签,通过触发a标签的点击事件,最终实现文件下载。简单实现前端json数据,以文件的形式,下载到本地。
dependency-check-maven安全漏洞扫描工具介绍
太空眼睛的专栏
05-03 1万+
目录dependency-check-maven安全漏洞扫描工具介绍dependency-check-maven插件重点参数解析运行命令检查单个maven工程安全漏洞检查多个maven子工程汇总一个报告扫描报告示例 dependency-check-maven安全漏洞扫描工具介绍 dependency-check官网下载地址: https://owasp.org/www-project-dependency-check 这个工具支持多种方式,本文主要介绍使用maven插件的使用方式 dependency-c
Dependency Check的实战应用
liwenxiang629的博客
08-26 3056
Dependency Check来检查代码中是否存在任何已知的,公开披露的安全漏洞。他检查依赖项中是否存在漏洞的原理也跟我们熟知的病毒查杀软件一样,预先定义好目前已知的安全漏洞库,检查依赖时,发现这些漏洞就会报错,最后定期更新安全漏洞库即可!关于Dependcy check 的原理和基础使用方式我在前面的文章中已经介绍了,具体参考文章: 代码依赖安全漏洞检测神器 —— Dependency Check 本文我会重点介绍一下dependency check的实战使用细节,主要括在maven中的使..
JS原生实现下载json文件
weixin_57098738的博客
12-02 1739
记录一下,将文本内容下载成json文件到本地
idea spark代码打成jar需要哪些依赖插件
06-02
要将 IDEA Spark 代码成 jar ,需要以下依赖插件: 1. Maven 插件:用来构建项目和打成 jar ; 2. Spark Core 依赖Spark 的核心依赖,必须要有; 3. 其他 Spark 依赖:如果你使用了 Spark SQL、Spark Streaming 等组件,还需要添加相应的依赖; 4. 日志依赖:建议添加日志依赖,以便于调试和排查问题。 以下是一个示例的 pom.xml 文件,你可以根据自己的需要进行修改: ```xml <project> <modelVersion>4.0.0</modelVersion> <groupId>com.example.spark</groupId> <artifactId>my-spark-job</artifactId> <version>1.0-SNAPSHOT</version> <properties> <spark.version>3.1.2</spark.version> </properties> <dependencies> <dependency> <groupId>org.apache.spark</groupId> <artifactId>spark-core_${scala.version}</artifactId> <version>${spark.version}</version> </dependency> <dependency> <groupId>org.apache.spark</groupId> <artifactId>spark-sql_${scala.version}</artifactId> <version>${spark.version}</version> </dependency> <!-- 其他 Spark 依赖 --> <dependency> <groupId>org.slf4j</groupId> <artifactId>slf4j-log4j12</artifactId> <version>1.7.25</version> </dependency> </dependencies> <build> <plugins> <plugin> <groupId>org.apache.maven.plugins</groupId> <artifactId>maven-compiler-plugin</artifactId> <version>3.8.1</version> <configuration> <source>1.8</source> <target>1.8</target> </configuration> </plugin> <plugin> <groupId>org.apache.maven.plugins</groupId> <artifactId>maven-assembly-plugin</artifactId> <version>3.3.0</version> <configuration> <archive> <manifest> <mainClass>com.example.spark.MySparkJob</mainClass> </manifest> </archive> <descriptorRefs> <descriptorRef>jar-with-dependencies</descriptorRef> </descriptorRefs> </configuration> <executions> <execution> <id>make-assembly</id> <phase>package</phase> <goals> <goal>single</goal> </goals> </execution> </executions> </plugin> </plugins> </build> </project> ``` 这个示例 pom.xml 文件含了 Spark Core、Spark SQL 和 slf4j-log4j12 三个依赖,使用了 Maven Compiler 插件和 Maven Assembly 插件来构建项目和打成 jar 。注意,这里的 mainClass 需要替换为你自己的 Spark 作业的入口类。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值