【项目安全漏洞扫描】dependency-check插件配置本地漏洞库NVD

配置dependency-check插件

项目pom中配置dependency-check插件


                org.owasp
                dependency-check-maven
                7.1.1
                
                    
                        
                            check
                        
                    
                

使用插件

image.png

很多情况下, 因为网络问题,会报错,建议配置本地漏洞库

1.通过官方java程序下载漏洞库至指定目录

首先到https://github.com/stevespringett/nist-data-mirror/releases 下载最新的jar包nist-data-mirror.jar,放到一个喜欢的目录,我放到的是D:\soft\NVD下.
执行 java -jar nist-data-mirror.jar nist-data 命令,把漏洞下载到本地nist-data目录中。

这里会报一个PKIX path building failed的报错,解决办法是把下面参考链接中的代码复制到idea项目中,配置下运行时参数为nvd.nist.gov,然后运行main方法,根据提示操作,最终会生成一个jssecacerts文件,复制到JAVA_HOME/jre/lib/security目录下,然后重新执行上面的jar -jar命令,耐心等着就好,时间会比较长。

参考:https://blog.csdn.net/qq_34778576/article/details/108489662 中的方法二

你可能感兴趣的:(【项目安全漏洞扫描】dependency-check插件配置本地漏洞库NVD)