快速清除Java项目中引用的各种包的安全漏洞

已于 2023-03-02 13:40:06 修改
阅读量2.3k 收藏 7
点赞数
分类专栏: java 文章标签: 安全 maven jar
于 2023-03-02 13:31:26 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44214515/article/details/129298779
版权

Java项目中往往会使用很多第三方类库或开源类库。在完成项目开发,并准备上线时,经常需要做漏洞扫描。一旦扫描出的上千的漏洞往往会让我们不知所措。如果上线要求非常严格,针对漏扫结果,我们需要逐个jar包查找有没有对应的升级或补丁。而即便我们找到了升级Jar包,在升级过程中也可能遇到版本不兼容的情况,甚至导致整个系统无法运行。

事实上,对于局域网类项目,或者内部网络已经做了严格的安全防护措施,甚至于各种端口全部关闭的情况下,单个软件包的漏扫并不能说明太大问题。

但为了满足漏扫规定,我们仍然需要处理,这里提供一种快速的清除项目中安全漏洞的方法。需要特别说明的是本插件仅仅针对我们项目打包出的Jar包清除了漏扫特征文件,使漏扫软件无法扫描出安全漏洞,并未进行事实上的软件包升级或任何填补漏洞的工作,请您要特别注意这一点。

1. 插件的使用:

<!-- 在pom.xml的build段中添加下面的插件 -->

<build>
    ....
    <!-- 添加这个插件 -->
	<plugin>
		<groupId>com.yushu.maven</groupId>
		<artifactId>leakmask</artifactId>
		<version>1.2</version>
	</plugin>
</build>

2. 编译时候执行:

mvn clean package leakmask:mask

这样在target/目录下生成的jar包再次进行漏洞扫描时,所有漏洞将不存在。

3. 插件下载

可从下面的链接下载插件:下载插件

下载并解压缩后,将leakmask-1.2.jar、leakmask-1.2.pom放入本地仓库(一般为.m2目录)下,路径:${repository}/com/yushu/maven/leakmask/1.2/ 目录下即可

weixin_44214515
关注
  • 0
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 2
    评论
专栏目录
扫描jar工具
04-27
java -jar jarscan.jar 查看help信息,可以快速扫描目标文件夹下jar含的class文件相关信息
JAVA上百实例源码以及开源项目
01-03
在有状态SessionBean,用累加器,以对话状态存储起来,创建EJB对象,并将当前的计数器初始化,调用每一个EJB对象的count()方法,保证Bean正常被激活和钝化,EJB对象是用完毕,从内存清除…… Java Socket 聊天...
idea for java漏洞提醒,Jar 安全性提醒
程序员写的技术 FAQ 和杂文
04-11 873
在 idea 的 pom.xml 文件编辑时会的黄色下划线提醒。鼠标停在上面后会弹出安全性提醒有时会有可以升级到的版号提醒。如图,有时没有可升级提醒。只是列出了当前版本和安全问题信息。
依赖安全漏洞扫描工具——Dependency-Check(OWASP)_autoupdate is disabled and the database does not e(2)
最新发布
2401_84254343的博客
05-08 650
还有兄弟不知道网络安全面试可以提前刷题吗?费时一周整理的160+网络安全面试题,金九银十,做网络安全面试里的显眼!王岚嵚工程师面试题(附答案),只能帮兄弟们到这儿了!如果你能答对70%,找一个安全工作,问题不大。对于有1-3年工作经验,想要跳槽的朋友来说,也是很好的温习资料!【完整版领取方式在文末!!内容实在太多,不一一截图了。
使用Dependency-Check扫描POM依赖第三方jar漏洞
wsdhla的专栏
03-31 565
使用Dependency-Check扫描POM依赖第三方jar漏洞
jenkins使用插件OWASP Dependency-Check Plugin对jar漏洞扫描
那你为何对我三笑留情的博客
11-07 3273
安装插件 ** [系统管理]-[插件管理]-[可选插件]安装OWASP Dependency-Check Plugin和Static Analysis Utilities(如果失败多安装几次,我的安装顺序:第二次安装OWASP Dependency-Check Plugin成功重启jenkins,安装Static Analysis Utilities成功后重启jenkins)** 工具安装 [系统...
jenkins使用OWASP Dependency-Check Plugin对项目jar漏洞扫描
mobingdetong的专栏
06-09 2099
jenkins使用插件OWASP Dependency-Check Plugin对jar漏洞扫描 安装插件 [系统管理]-[插件管理]-[可选插件]安装OWASP Dependency-Check Plugin和Static Analysis Utilities 工具安装 [系统管理]-[全局工具配置]-[Dependency_check安装] 项目使用 生成html格式报告 ...
开源漏洞扫描工具dependency-check自动化shell脚本,轻松批量扫描jar依赖
心想事成
02-27 692
只需要脚本的可以直接跳到第2步dependency-check项目地址,百度云链接:链接:https://pan.baidu.com/s/1yr7Uuj4G-jX3dxBaN2ONcA?pwd=bbt9提取码:bbt9。
扫描jar
qq_59463562的博客
04-03 1159
扫描任务:扫描出给定路径下的jar,并找出其的.dll文件 拿到任务需要做什么? 浅说一下我的方法。无论想要实现什么,我们首先要做的就是明确目标,梳理实现此功能的步骤,把需要实现的步骤细化,一点点的去实现。一开始慢一点没有关系,实现之后就会得到令人满足的成就感。 分步骤来做 扫面全部目录下的jar 解压jar 遍历.dll文件 结果:输出jar名和.dll文件名 public class Demo1 { //输入你想扫描的路...
JAVA上百实例源码以及开源项目源代码
09-17
Java 源码 Applet钢琴模拟程序java源码 2个目标文件,提供基本的音乐编辑功能。编辑音乐软件的朋友,这款实例会对你有所帮助。 Calendar万年历 1个目标文件 EJB 模拟银行ATM流程及操作源代码 6个目标文件,EJB来...
Java垃圾回收机制的学习和使用
07-27
在C++等语言,程序员需要手动释放内存,而在Java,这一过程由垃圾收集器自动完成,减少了程序员的工作负担,同时也增强了程序的健壮性,因为不正确的内存管理可能导致程序崩溃或安全漏洞。然而,垃圾回收并非...
活体检测jar
05-27
活体检测jar,直接下载解压即可,解压完成之后放置在项目里面,然后构建下路径即可。
httpclient常用 jar工具
04-20
import org.apache.http.Header; import org.apache.http.HttpException; import org.apache.http.HttpRequest; import org.apache.http.HttpRequestInterceptor; import org.apache.http.HttpResponse; import org.apache.http.HttpStatus; import org.apache.http.NameValuePair; import org.apache.http.client.entity.UrlEncodedFormEntity; import org.apache.http.client.methods.HttpGet; import org.apache.http.client.methods.HttpPost; import org.apache.http.conn.scheme.Scheme; import org.apache.http.conn.ssl.SSLSocketFactory; import org.apache.http.im
依赖安全漏洞扫描工具——Dependency-Check(OWASP)
海边de曼彻斯特的博客
12-22 1598
只介绍命令的方式,maven 插件需要授权不好用暂不做介绍。后期如果有需求再补充。点击下载即可:没梯子的用迅雷一样下载。
如何对jar进行安全扫呢,用dependency-check工具吧
weixin_43554548的博客
09-06 1534
dependency-check
查询三方jar漏洞
qq_42511550的博客
08-08 2242
安全检测的时候一般会对第三方的jar扫描,下面的地址可以根据artifactId 或者漏洞查询相应的不同版本漏洞,然后自己做相应的处理,一般都是升级,或者直接用功能类似的替换,避免重大事故 nvd漏洞查询 ...
及jar扫描
A_BCDEF_的博客
10-04 492
public PackageScanner() { } //扫描 private void scanFile(File currentFile, String packageName) { //File[] fileList = file.listFiles(); //得到该文件夹下的所有 类+子文件夹的名称 //此处list应为扫描下的所有类的nameList,所以不应该有文件名称 ...
Java项目代码依赖安全漏洞检测插件Dependency Check
热门推荐
QC班长的博客
01-11 1万+
最近在搞Java的后端项目,需要更新jar依赖,找到了一个jar漏洞检测的插件Dependency Check。 Dependency-Check是OWASP(Open WebApplication Security Project)的一个实用开源程序,用于识别项目依赖项并检查是否存在任何已知的,公开披露的漏洞。目前,已支持Java、.NET、Ruby、Node.js、Python等语言编写的程序,并为C/C++构建系统(autoconf和cmake)提供了有限的支持。官网地址:OWASP Depen
Java泛型与反射详解:类型安全与系统属性获取
"这篇资源主要讨论了Java的泛型和反射技术,以及它们在实际编程的应用。泛型主要用于提供类型安全,消除强制类型转换,提高代码可读性和性能。而反射则是Java的一种强大功能,允许在运行时检查类、接口、字段和...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

weixin_44214515

你的鼓励是我分享的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值