最近在搞Java的后端项目,需要更新jar依赖包,找到了一个jar包漏洞检测的插件Dependency Check。
Dependency-Check是OWASP(Open WebApplication Security Project)的一个实用开源程序,用于识别项目依赖项并检查是否存在任何已知的,公开披露的漏洞。目前,已支持Java、.NET、Ruby、Node.js、Python等语言编写的程序,并为C/C++构建系统(autoconf和cmake)提供了有限的支持。官网地址:OWASP Dependency-Check Project | OWASP
用下来感觉不错,可以看到整个项目依赖包存在的漏洞,然后在根据建议修改。
我的后端Java项目是用Maven构建的,所以在pom.xml文件中添加依赖,Maven仓库地址
https://mvnrepository.com/artifact/org.owasp/dependency-check-maven
1
2
3
4
5
6
7
8<!-- 代码依赖包安全漏洞检测--> <!-- https://mvnrepository.com/artifact/org.owasp/dependency-check-maven --> <dependency> <groupId>org.owasp</groupId> <artifactId>dependency-check-maven</artifactId> <version>6.5.2</version> </dependency>
接着在<plugins></plugins>下添加检查配置
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15<!-- 代码依赖包安全漏洞检测--> <plugin> <groupId>org.owasp</groupId> <artifactId>dependency-check-maven</artifactId> <configuration> <autoUpdate>true</autoUpdate> </configuration> <executions> <execution> <goals> <goal>check</goal> </goals> </execution> </executions> </plugin>
配置完后,就可以运行检查了,直接在IDEA的Maven中点击运行
运行结束后,会在target下生成检测报告dependency-check-report.html,直接浏览器打开查看就可以了
然后,根据漏洞等级高的jar版本修改就可以了 ,IDEA中直接可以选择依赖包的版本,我用的IDEA版本是2021.3.1的。这个挺方便的。
参考文献
1、更新代码到本地_代码依赖包安全漏洞检测神器——Dependency Check
2、Maven安全检查(owasp dependency-check)_
最后
以上就是复杂芝麻最近收集整理的关于Java项目代码依赖包安全漏洞检测插件Dependency Check的全部内容,更多相关Java项目代码依赖包安全漏洞检测插件Dependency内容请搜索靠谱客的其他文章。
发表评论 取消回复