推荐一款代码依赖包安全漏洞检查插件

前言

今天向大家推荐一款代码依赖包漏洞检查maven插件--dependency-check-maven。通过这个插件可以扫描出项目中是否依赖已经存在的安全漏洞包

如何使用

前置条件：该插件需要使用maven 3.1或更高版本

1、在项目pom引入dependency-check-maven插件 GAV

  
        
            
                org.owasp
                dependency-check-maven
                7.0.0
                
                    true
                
                
                    
                        
                            check
                        
                    
                
            
        
    

2、切换到项目的target目录，执行mvn dependency-check:check

注： 如果是idea，可以直接如下，右键运行

image.png

第一次执行的话，他的速度会挺慢的，因为他需要从NIST托管的国家漏洞数据库下载漏洞数据到本地备份库。

在执行的过程中，可能会出现

Failed to initialize the RetireJS repo

解决的办法

下载jsrepository.json并将该文件放到maven私仓地址\org\owasp\dependency-check-data\7.0目录下

执行完毕后，会在target目录下产生dependency-check-report.html文件

3、通过浏览器打开dependency-check-report.html

image.png

点击相应的链接信息，可以查看相应的漏洞描述

image.png

总结

本文简单的介绍一下如何利用dependency-check-maven插件来检查代码依赖包安全漏洞。相关详细用法，可以查看如下链接
https://jeremylong.github.io/DependencyCheck/dependency-check-maven/index.html

demo链接

https://github.com/lyb-geek/springboot-learning/tree/master/springboot-git-commit