推薦一款程式碼依賴包安全漏洞檢查外掛

前言

今天向大家推薦一款程式碼依賴包漏洞檢查maven外掛--dependency-check-maven。通過這個外掛可以掃描出專案中是否依賴已經存在的安全漏洞包

如何使用

前置條件：該外掛需要使用maven 3.1或更高版本

1、在專案pom引入dependency-check-maven外掛 GAV

  <build>
        <plugins>
            <plugin>
                <groupId>org.owasp</groupId>
                <artifactId>dependency-check-maven</artifactId>
                <version>7.0.0</version>
                <configuration>
                    <autoUpdate>true</autoUpdate>
                </configuration>
                <executions>
                    <execution>
                        <goals>
                            <goal>check</goal>
                        </goals>
                    </execution>
                </executions>
            </plugin>
        </plugins>
    </build>

2、切換到專案的target目錄，執行mvn dependency-check:check

注： 如果是idea，可以直接如下，右鍵執行

第一次執行的話，他的速度會挺慢的，因為他需要從NIST託管的國家漏洞資料庫下載漏洞資料到本地備份庫。

在執行的過程中，可能會出現

Failed to initialize the RetireJS repo

解決的辦法

下載jsrepository.json並將該檔案放到maven私倉地址\org\owasp\dependency-check-data\7.0目錄下

執行完畢後，會在target目錄下產生dependency-check-report.html檔案

3、通過瀏覽器開啟dependency-check-report.html

點選相應的連結資訊，可以檢視相應的漏洞描述

總結

本文簡單的介紹一下如何利用dependency-check-maven外掛來檢查程式碼依賴包安全漏洞。相關詳細用法，可以檢視如下連結
https://jeremylong.github.io/DependencyCheck/dependency-check-maven/index.html

demo連結

https://github.com/lyb-geek/springboot-learning/tree/master/springboot-git-commit