【项目安全漏洞扫描】dependency-check插件配置本地漏洞库NVD

配置dependency-check插件

项目pom中配置dependency-check插件

                org.owasp
                dependency-check-maven
                7.1.1
                
                    
                        
                            check
                        
                    
                

使用插件

image.png

很多情况下， 因为网络问题，会报错，建议配置本地漏洞库

1.通过官方java程序下载漏洞库至指定目录

首先到https://github.com/stevespringett/nist-data-mirror/releases 下载最新的jar包nist-data-mirror.jar，放到一个喜欢的目录，我放到的是D:\soft\NVD下.
执行 java -jar nist-data-mirror.jar nist-data 命令，把漏洞下载到本地nist-data目录中。

这里会报一个PKIX path building failed的报错，解决办法是把下面参考链接中的代码复制到idea项目中，配置下运行时参数为nvd.nist.gov，然后运行main方法，根据提示操作，最终会生成一个jssecacerts文件，复制到JAVA_HOME/jre/lib/security目录下，然后重新执行上面的jar -jar命令，耐心等着就好，时间会比较长。

参考：https://blog.csdn.net/qq_34778576/article/details/108489662 中的方法二