Java项目代码依赖包安全漏洞检测插件Dependency Check

最近在搞Java的后端项目,需要更新jar依赖包,找到了一个jar包漏洞检测的插件Dependency Check。

Dependency-Check是OWASP(Open WebApplication Security Project)的一个实用开源程序,用于识别项目依赖项并检查是否存在任何已知的,公开披露的漏洞。目前,已支持Java、.NET、Ruby、Node.js、Python等语言编写的程序,并为C/C++构建系统(autoconf和cmake)提供了有限的支持。官网地址:OWASP Dependency-Check Project | OWASP

用下来感觉不错,可以看到整个项目依赖包存在的漏洞,然后在根据建议修改。

我的后端Java项目是用Maven构建的,所以在pom.xml文件中添加依赖,Maven仓库地址

https://mvnrepository.com/artifact/org.owasp/dependency-check-maven

<!--        代码依赖包安全漏洞检测-->
<!-- https://mvnrepository.com/artifact/org.owasp/dependency-check-maven -->
<dependency>
    <groupId>org.owasp</groupId>
    <artifactId>dependency-check-maven</artifactId>
    <version>6.5.2</version>
</dependency>

 

接着在<plugins></plugins>下添加检查配置

 <!--        代码依赖包安全漏洞检测-->
            <plugin>
                <groupId>org.owasp</groupId>
                <artifactId>dependency-check-maven</artifactId>
                <configuration>
                    <autoUpdate>true</autoUpdate>
                </configuration>
                <executions>
                    <execution>
                        <goals>
                            <goal>check</goal>
                        </goals>
                    </execution>
                </executions>
            </plugin>

配置完后,就可以运行检查了,直接在IDEA的Maven中点击运行

 

 运行结束后,会在target下生成检测报告dependency-check-report.html,直接浏览器打开查看就可以了

 

然后,根据漏洞等级高的jar版本修改就可以了 ,IDEA中直接可以选择依赖包的版本,我用的IDEA版本是2021.3.1的。这个挺方便的。

 


参考文献

1、​​​​​​​更新代码到本地_代码依赖包安全漏洞检测神器——Dependency Check​​​​​

2、Maven安全检查(owasp dependency-check)_​​​​​​

评论 6
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

QC班长

班长有话说:要是有瓶水喝就好了

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值