owasp maven

我不得不非常遗憾地承认,我不知道OWASP依赖检查maven插件 。 自2013年以来似乎已经存在。显然GitHub上已有千个项目正在使用它。

过去,我手动检查了依赖项,以根据漏洞数据库检查它们,或者在很多情况下,我只是对自己的依赖项所存在的任何漏洞一无所知。

这篇文章的目的就是–推荐OWASP依赖项检查maven插件是几乎每个maven项目中的必备工具。 (也有用于其他构建系统的依赖项检查工具 )。

添加插件时,它将生成报告。 最初,您可以去手动升级有问题的依赖项(我在当前项目中升级了其中的两个),或抑制误报(例如,cassandra库被标记为易受攻击,而实际的漏洞是Cassandra绑定了未经身份验证的RMI端点,我已经通过堆栈设置解决了该问题,因此该库不是问题)。

然后,您可以配置漏洞的阈值,并在出现新漏洞时使构建失败-通过添加易受攻击的依赖关系,或在现有依赖关系中发现漏洞的情况下,使构建失败。

所有这些都显示在示例页面中 ,非常简单。 我建议立即添加插件,这是必须的:

<plugin><groupId>org.owasp</groupId><artifactId>dependency-check-maven</artifactId><version>3.0.2</version><executions><execution><goals><goal>check</goal></goals></execution></executions>
</plugin>

当然,不是所有的玫瑰。 使用reddit的人抱怨说,尽管该插件在本地缓存内容,但仍可能显着降低构建速度。 因此,最好将其从常规构建中排除,并在CI系统和/或deploymenet管道中每晚运行。

现在,检查依赖项是否存在漏洞只是确保软件安全的一个小方面,它不应该给您带来错误的安全感(有点“我检查了我的依赖项,因此我的系统是安全的”谬论)。 但这是一个重要方面。 并且使该检查自动化是巨大的收获。

翻译自: https://www.javacodegeeks.com/2017/12/owasp-dependency-check-maven-plugin-must.html

owasp maven

owasp maven_OWASP依赖性检查Maven插件–必须具备相关推荐

  1. OWASP依赖性检查Maven插件–必须具备

    我不得不非常遗憾地承认,我对OWASP依赖检查maven插件一无所知. 自2013年以来似乎已经存在.显然GitHub上已有千个项目正在使用它. 过去,我手动检查了依赖项,以根据漏洞数据库对其进行检查 ...

  2. 一些好用的maven插件介绍

    Maven插件是扩展Maven功能的方式之一,它可以帮助我们更轻松地管理依赖性.构建应用程序.运行测试和部署应用程序等.maven插件实在是太多了,我这里也介绍不完,仅仅以我使用过的也比较实用的给大家 ...

  3. 常用Maven插件介绍(上)

    转自 : http://www.infoq.com/cn/news/2011/04/xxb-maven-7-plugin 我们都知道Maven本质上是一个插件框架,它的核心并不执行任何具体的构建任务, ...

  4. 安装eclipse的maven插件

    工具/原料 eclipse(Helios) 3.6 maven 3.0.4 方法/步骤 maven3 安装: 安装 Maven 之前要求先确定你的 JDK 已经安装配置完成.Maven是 Apache ...

  5. Maven实战——常用Maven插件介绍

    http://www.infoq.com/cn/news/2011/04/xxb-maven-7-plugin 我们都知道Maven本质上是一个插件框架,它的核心并不执行任何具体的构建任务,所有这些任 ...

  6. eclipse集成maven插件

    一.准备工作 1. 安装jdk并配置:https://www.cnblogs.com/diandiangui/p/10002100.html 2. 已安装好 maven并配置:https://www. ...

  7. dojo还有人用吗_我的Dojo中有一个Mojo(如何编写Maven插件)

    dojo还有人用吗 我一直忙于在工作中使用Maven的腋窝. 对于很多开发人员,我会听到:"那又怎样." 区别在于,我通常在无法直接访问Internet的环境中工作. 因此,当我说 ...

  8. maven插件依赖_当Maven依赖插件位于

    maven插件依赖 问题: 我们进行了一个集成测试,该测试创建了一个Spring ClassPathXmlApplicationContext ,同时这样做导致NoSuchMethodError爆炸. ...

  9. maven插件编写_编写Maven插件的提示

    maven插件编写 最近,我花了很多时间为Maven编写插件或在其中工作. 它们简单,有趣且有趣. 我以为我会分享一些技巧,使编写它们时的生活更轻松. 提示1:将任务与Mojo分开 最初,您将把moj ...

最新文章

  1. seaborn系列 (14) | 条形图barplot()
  2. 【Android Gradle 插件】ProductFlavor 配置 ( applicationId 配置 | SdkVersion 相关配置 | version 应用版本配置 )
  3. 1491. [NOI2007]社交网络【最短路计数】
  4. 开源 Serverless 里程碑:Knative 1.0 来了
  5. 游戏编程入门(1) -- 精灵 ISprite
  6. Linux CentOS 7【修改 屏幕(分辨率)大小】
  7. ActiveMQ部署模式
  8. OpenCV4Android JavaCameraView实现
  9. How to install sharepoint server 2010 sp2 in window 7 x64
  10. Wannafly挑战赛19
  11. MapReduce:通过数据密集型文本处理
  12. linux cpu负载巡检,linux服务器巡检报告.doc
  13. viewDidLoad等相关函数调用
  14. mysql 字符集 校验规则_MySQL字符集及校验规则
  15. Title:eNSP 映射到外网
  16. 自己动手实现权限控制(数据库表的设计)
  17. DMA—直接存储区访问
  18. 函数的练习1——python编程从入门到实践
  19. springboot-属性提示
  20. html 强制用ie浏览,强制指定IE浏览器版本

热门文章

  1. 牛客网 【每日一题】4月10日 二分图染色(弱化版)
  2. 洛谷P3349:小星星(容斥dp)
  3. LOJ:出纳员问题(差分约束)
  4. CF1375F-Integer Game【交互】
  5. P5895-[IOI2013]dreaming梦想【树的直径,结论】
  6. CF396B-On Sum of Fractions【数学】
  7. jzoj3301-[集训队互测2013]家族【并查集,暴力】
  8. nssl1143,jzoj3493-三角形【排序,数学,几何】
  9. 2021牛客暑期多校训练营2 G.League of Legends(转化+单调队列)
  10. Codeforces 786B Legacy (线段树优化建图)