前沿技术早知道，弯道超车有希望

积累超车资本，从关注DD开始

❝

是的，如果以后在PPT中看到“Maven中有一些关键漏洞”时你应该理解为“这些在Maven中央仓库的依赖组件存在漏洞”。

上面是Apache Maven官方针对下图的一个回应：

Snyk在PPT中Maven和Maven Center混淆不清

除了借此来暗讽Snyk公司（全球知名的应用安全解决方案提供商）的高级工程师不懂Maven和Maven Center的区别外，还带来了Maven中央仓库久违的改变。Maven中央仓库(mvnrepository.com)近期悄悄增加了一个功能，在依赖列表增加了一个Vulnerabilities红色高亮字段，这个字段用来展示当前依赖版本的漏洞信息，以提醒那些还没有注意到该漏洞信息的开发者，方便评估漏洞并加以规避。

mvnrepository增加了漏洞提示

❝

请注意必须是已被公布的漏洞才会被显示，Maven 中央仓库本身不具备扫描漏洞的能力。

胖哥认为这项举措非常及时，意在引入一个机制来应对像Log4j2漏洞一样的风险。Log4j2漏洞的余波仍未平息。根据Google的统计，目前有超过35,000个 Java 类库受 Log4j 漏洞影响，占Maven中央仓库存储的类库总数的8%，对整个软件行业都造成了广泛的后果。专家们分析了修复影响Maven 包的关键公告中报告的缺陷所花费的时间，并确定只有 48% 的受漏洞影响的工件已得到修复，整个过程可能需要数年时间。

另外如果你不想在项目中使用已知安全漏洞的类库，你也可以通过下面的Maven插件来完成扫描操作：

<plugin><groupId>org.owasp</groupId><artifactId>dependency-check-maven</artifactId><version>6.5.1</version><executions><execution><goals><goal>check</goal></goals></execution></executions></plugin>

当执行mvn verify时，它会产生以下输出：

One or more dependencies were identified with known vulnerabilities in ctlog:httpclient-4.3.3.jar (cpe:/a:apache:httpclient:4.3.3, org.apache.httpcomponents:httpclient:4.3.3) : CVE-2015-5262, CVE-2014-3577
bcprov-jdk15on-1.49.jar (cpe:/a:bouncycastle:bouncy-castle-crypto-package:1.49, cpe:/a:bouncycastle:bouncy_castle_crypto_package:1.49, org.bouncycastle:bcprov-jdk15on:1.49) : CVE-2015-7940See the dependency-check report for more details.//如果您正在学习Spring Boot
//那么推荐一个连载多年还在继续更新的免费教程：http://blog.didispace.com/spring-boot-learning-2x/

并且可以生成漏洞报告，以方便安全团队评估。

2021年马上就要过去了，提前给各位同学说声元旦快乐。

感谢大家一年的陪伴，我们2022年见！

最后，如果你还没有关注DD，点击卡片关注我哟！

前沿技术早知道，弯道超车有希望

积累超车资本，从关注DD开始

与优秀的人在一起，自己也会优秀起来

高质量技术交流群，您还没加入吗？

赶紧点击加入我们，享受一起成长的快乐！

往期推荐

想看Vue文档，cn放错位置，误入xx网站...

一个让我惊掉下巴的时间格式化问题！

“VPN翻墙被大规模行政处罚” 是真的吗？

技术前沿：Redis推出性能碾压ES和Mongo的大杀器

墙裂推荐！卡神力作《代码随想录》，上架首日卖爆！

点击阅读原文，送你免费Spring Boot教程！