概述
最近在搞Java的后端项目,需要更新jar依赖包,找到了一个jar包漏洞检测的插件Dependency Check。
Dependency-Check是OWASP(Open WebApplication Security Project)的一个实用开源程序,用于识别项目依赖项并检查是否存在任何已知的,公开披露的漏洞。目前,已支持Java、.NET、Ruby、Node.js、Python等语言编写的程序,并为C/C++构建系统(autoconf和cmake)提供了有限的支持。官网地址:OWASP Dependency-Check Project | OWASP
用下来感觉不错,可以看到整个项目依赖包存在的漏洞,然后在根据建议修改。
我的后端Java项目是用Maven构建的,所以在pom.xml文件中添加依赖,Maven仓库地址
https://mvnrepository.com/artifact/org.owasp/dependency-check-maven
<!-- 代码依赖包安全漏洞检测-->
<!-- https://mvnrepository.com/artifact/org.owasp/dependency-check-maven -->
<dependency>
<groupId>org.owasp</groupId>
<artifactId>dependency-check-maven</artifactId>
<version>6.5.2</version>
</dependency>
接着在<plugins></plugins>下添加检查配置
<!-- 代码依赖包安全漏洞检测-->
<plugin>
<groupId>org.owasp</groupId>
<artifactId>dependency-check-maven</artifactId>
<configuration>
<autoUpdate>true</autoUpdate>
</configuration>
<executions>
<execution>
<goals>
<goal>check</goal>
</goals>
</execution>
</executions>
</plugin>
配置完后,就可以运行检查了,直接在IDEA的Maven中点击运行
运行结束后,会在target下生成检测报告dependency-check-report.html,直接浏览器打开查看就可以了
然后,根据漏洞等级高的jar版本修改就可以了 ,IDEA中直接可以选择依赖包的版本,我用的IDEA版本是2021.3.1的。这个挺方便的。
参考文献
1、更新代码到本地_代码依赖包安全漏洞检测神器——Dependency Check
2、Maven安全检查(owasp dependency-check)_
最后
以上就是复杂芝麻为你收集整理的Java项目代码依赖包安全漏洞检测插件Dependency Check的全部内容,希望文章能够帮你解决Java项目代码依赖包安全漏洞检测插件Dependency Check所遇到的程序开发问题。
如果觉得靠谱客网站的内容还不错,欢迎将靠谱客网站推荐给程序员好友。
发表评论 取消回复