前沿速递:Maven中央仓库新增依赖漏洞提醒功能
前沿技术早知道,弯道超车有希望
积累超车资本,从关注DD开始
❝
是的,如果以后在PPT中看到“Maven中有一些关键漏洞”时你应该理解为“这些在Maven中央仓库的依赖组件存在漏洞”。
上面是Apache Maven官方针对下图的一个回应:
Snyk在PPT中Maven和Maven Center混淆不清
除了借此来暗讽Snyk公司(全球知名的应用安全解决方案提供商)的高级工程师不懂Maven和Maven Center的区别外,还带来了Maven中央仓库久违的改变。Maven中央仓库(mvnrepository.com)近期悄悄增加了一个功能,在依赖列表增加了一个Vulnerabilities
红色高亮字段,这个字段用来展示当前依赖版本的漏洞信息,以提醒那些还没有注意到该漏洞信息的开发者,方便评估漏洞并加以规避。
mvnrepository增加了漏洞提示
❝
请注意必须是已被公布的漏洞才会被显示,Maven 中央仓库本身不具备扫描漏洞的能力。
胖哥认为这项举措非常及时,意在引入一个机制来应对像Log4j2漏洞一样的风险。Log4j2漏洞的余波仍未平息。根据Google的统计,目前有超过35,000个 Java 类库受 Log4j 漏洞影响,占Maven中央仓库存储的类库总数的8%,对整个软件行业都造成了广泛的后果。专家们分析了修复影响Maven 包的关键公告中报告的缺陷所花费的时间,并确定只有 48% 的受漏洞影响的工件已得到修复,整个过程可能需要数年时间。
另外如果你不想在项目中使用已知安全漏洞的类库,你也可以通过下面的Maven插件来完成扫描操作:
<plugin><groupId>org.owasp</groupId><artifactId>dependency-check-maven</artifactId><version>6.5.1</version><executions><execution><goals><goal>check</goal></goals></execution></executions></plugin>
当执行mvn verify
时,它会产生以下输出:
One or more dependencies were identified with known vulnerabilities in ctlog:httpclient-4.3.3.jar (cpe:/a:apache:httpclient:4.3.3, org.apache.httpcomponents:httpclient:4.3.3) : CVE-2015-5262, CVE-2014-3577
bcprov-jdk15on-1.49.jar (cpe:/a:bouncycastle:bouncy-castle-crypto-package:1.49, cpe:/a:bouncycastle:bouncy_castle_crypto_package:1.49, org.bouncycastle:bcprov-jdk15on:1.49) : CVE-2015-7940See the dependency-check report for more details.//如果您正在学习Spring Boot
//那么推荐一个连载多年还在继续更新的免费教程:http://blog.didispace.com/spring-boot-learning-2x/
并且可以生成漏洞报告,以方便安全团队评估。
2021年马上就要过去了,提前给各位同学说声元旦快乐。
感谢大家一年的陪伴,我们2022年见!
最后,如果你还没有关注DD,点击卡片关注我哟!
前沿技术早知道,弯道超车有希望
积累超车资本,从关注DD开始
与优秀的人在一起,自己也会优秀起来
高质量技术交流群,您还没加入吗?
赶紧点击加入我们,享受一起成长的快乐!
往期推荐
想看Vue文档,cn放错位置,误入xx网站...
一个让我惊掉下巴的时间格式化问题!
“VPN翻墙被大规模行政处罚” 是真的吗?
技术前沿:Redis推出性能碾压ES和Mongo的大杀器
墙裂推荐!卡神力作《代码随想录》,上架首日卖爆!
点击阅读原文,送你免费Spring Boot教程!
前沿速递:Maven中央仓库新增依赖漏洞提醒功能相关推荐
- 在IDEA中为项目引入maven中央仓库中的依赖包
如果是maven项目直接在pow.xml文件中引入依赖即可,这些依赖包将会下载到maven配置好的仓库中.但是有些时候我们并不希望其下载到全局的仓库中而是只在项目中使用,或者项目根本不是maven项目 ...
- idea maven打jar包_Dev 日志 | 如何将 jar 包发布到 Maven 中央仓库
摘要 Maven 中央仓库并不支持直接上传 jar 包,因此需要将 jar 包发布到一些指定的第三方 Maven 仓库,比如:Sonatype OSSRH 仓库,然后该仓库再将 jar 包同步到 Ma ...
- 如何将JAR包发布到Maven中央仓库?
将jar包发布到Maven中央仓库(Maven Central Repository),这样所有的Java开发者都可以使用Maven直接导入依赖,例如fundebug-java: <!-- ht ...
- 我把自己的java库发布到了maven中央仓库,从此可以像Jackson、Spring的jar一样使用它了
欢迎访问我的GitHub 这里分类和汇总了欣宸的全部原创(含配套源码):https://github.com/zq2599/blog_demos 关于maven中央仓库 作为一个java程序员,对ma ...
- 发布/上传Jar包到Maven中央仓库 - 史上最详细
发布 Jar 包到 Maven 中央仓库 在项目开发过程中,我们常常会使用 Maven / Gradle 从仓库拉取开源的第三方 jar 包,可能是私有仓库,可能是 Maven 中央仓库,也可能是第三 ...
- 如何把JAR发布到maven中央仓库
详细描述maven中央仓库发布jar包的中间过程, 以及遇到的一些问题汇总, 尽量用文字描述清楚, 耐心看下去, 就一定会发布成功 ----Sonatype篇---- 名词解释: Sonatype N ...
- 如何发布自己的项目到Maven中央仓库?
在Maven项目中,90%以上的jar包是通过pom文件直接从开源仓库中获取依赖jar包文件,然后在项目中进行集成使用. 此时如果你有一个开源项目,那么如何将该开源项目发布到Maven中央仓库,让其他 ...
- 0 Maven中央仓库爬取技术与内网本地Maven中央仓库的建立与使用(引言)【力图解决一个非常蛋疼的问题】
随着国产化CPU与操作系统的"流行",美中不足的就是没一个国产化的开发语言(呵呵),开源的Java开发也就如火如荼的开展起来.其实在互联网上开发Java的确很爽,海量的资源海量的库 ...
- 发布个人项目jar包到maven中央仓库详解
发布个人项目jar包到maven中央仓库详解 1.在sonatype提交发布工单(Issue) sonatype是由社区支持的开源项目托管服务(Open Source Project Reposito ...
最新文章
- 刻意练习:LeetCode实战 -- Task11. 删除链表的倒数第N个节点
- pip包管理工具-install执行流程简单查看
- springboot-springSecurity 之 http Basic认证 (四)
- Oracle如何精确计算row的大小
- 电商第一季函数笔记(1)
- micropython固件源码_Micropython加速物联网开发7 - Micropython源码编译与固件更新
- python来进行图的深度遍历和广度遍历
- 微信H5支付(基于Java实现微信H5支付)
- c程序语言的常量变量和标识符,浅谈C语言中的常量与变量.pdf
- RPM 打包指南系列 一
- 为.net开发者提供的一份关于存储过程的评论(转载)
- 按群计数10以内_10米12米60吨地磅扬州地磅数字地磅厂-鹰衡称重
- C语言学生管理程序输入错误,c语言编程,关于学生管理的程序(急急急)
- shell脚本语法教程
- 蓝海灵豚医疗器械管理隐形眼镜专版用户指南5.9.0.0
- php实现前后端完全分离
- LSD_SLAM 编译、安装到运行demo
- 微信小程序开发之表单验证(WxValidate使用)
- 浅谈深度学习:了解RNN和构建并预测
- 到底什么是云原生(Cloud Native)?什么是CNCF(Cloud Native Computing Foundation)