福州网站建设出格,h5网页制作工具,百度公司官网,软件制作助手owasp maven我不得不非常遗憾地承认#xff0c;我不知道OWASP依赖检查maven插件 。 自2013年以来似乎已经存在。显然GitHub上已有千个项目正在使用它。 过去#xff0c;我手动检查了依赖项#xff0c;以根据漏洞数据库检查它们#xff0c;或者在很多情况下#xff0c;我只… owasp maven 我不得不非常遗憾地承认我不知道OWASP依赖检查maven插件 。 自2013年以来似乎已经存在。显然GitHub上已有千个项目正在使用它。 过去我手动检查了依赖项以根据漏洞数据库检查它们或者在很多情况下我只是对自己的依赖项所存在的任何漏洞一无所知。 这篇文章的目的就是–推荐OWASP依赖项检查maven插件是几乎每个maven项目中的必备工具。 也有用于其他构建系统的依赖项检查工具 。 添加插件时它将生成报告。 最初您可以去手动升级有问题的依赖项我在当前项目中升级了其中的两个或抑制误报例如cassandra库被标记为易受攻击而实际的漏洞是Cassandra绑定了未经身份验证的RMI端点我已经通过堆栈设置解决了该问题因此该库不是问题。 然后您可以配置漏洞的阈值并在出现新漏洞时使构建失败-通过添加易受攻击的依赖关系或在现有依赖关系中发现漏洞的情况下使构建失败。 所有这些都显示在示例页面中 非常简单。 我建议立即添加插件这是必须的 plugingroupIdorg.owasp/groupIdartifactIddependency-check-maven/artifactIdversion3.0.2/versionexecutionsexecutiongoalsgoalcheck/goal/goals/execution/executions
/plugin 当然不是所有的玫瑰。 使用reddit的人抱怨说尽管该插件在本地缓存内容但仍可能显着降低构建速度。 因此最好将其从常规构建中排除并在CI系统和/或deploymenet管道中每晚运行。 现在检查依赖项是否存在漏洞只是确保软件安全的一个小方面它不应该给您带来错误的安全感有点“我检查了我的依赖项因此我的系统是安全的”谬论。 但这是一个重要方面。 并且使该检查自动化是巨大的收获。 翻译自: https://www.javacodegeeks.com/2017/12/owasp-dependency-check-maven-plugin-must.htmlowasp maven
