目錄

• dependency-check-maven安全漏洞掃描工具介紹
• dependency-check-maven插件
• 重點參數解析
• 運行命令
• • 檢查單個maven工程安全漏洞
  • 檢查多個maven子工程匯總一個報告
• 命令行方式運行
• 掃描報告示例

dependency-check-maven安全漏洞掃描工具介紹

dependency-check官網下載地址: https://owasp.org/www-project-dependency-check

這個工具支持多種方式，本文主要介紹使用maven插件的使用方式和命令行方式

dependency-check-maven插件

在maven的pom.xml的插件配置中添加如下配置內容:

<plugin><groupId>org.owasp</groupId><artifactId>dependency-check-maven</artifactId><version>${dependency-check-maven.version}</version><configuration><autoUpdate>false</autoUpdate><dataDirectory>D:\ProgramFiles\dependency-check\data</dataDirectory><versionCheckEnabled>false</versionCheckEnabled><retireJsForceUpdate>false</retireJsForceUpdate><ossindexAnalyzerUseCache>true</ossindexAnalyzerUseCache><skipRuntimeScope>true</skipRuntimeScope><skipProvidedScope>true</skipProvidedScope><skipSystemScope>true</skipSystemScope><skipTestScope>true</skipTestScope></configuration><executions><execution><goals><goal>check</goal></goals></execution></executions> </plugin>

以上配置了插件常用的一些參數，如果需要查看更多參數，可以使用如下命令查看:
mvn help:describe -Dcmd=dependency-check:check -Ddetail

重點參數解析

autoUpdate

• 如果為true，每次執行漏洞檢查時都會下載CVE漏洞數據
• 如果為false，不會在線更新漏洞數據，相當于離線掃描

dataDirectory
這是存放CVE漏洞數據的目錄，如果autoUpdate為true，也會在這個目錄下更新

運行命令

檢查單個maven工程安全漏洞

mvn dependency-check:check
會在target目錄下生成一個dependency-check-report.html

檢查多個maven子工程匯總一個報告

mvn dependency-check:aggregate
會在父工程的target目錄下生成一個dependency-check-report.html

命令行方式運行

dependency-check.bat --cveUrlModified "file:///D:/ProgramFiles/dependency-check/data/nvdcache/nvdcve-1.1-modified.json.gz" --cveUrlBase "file:///D:/ProgramFiles/dependency-check/data/nvdcache/nvdcve-1.1-modified.json.gz" --disableRetireJS --disableNodeJS --project "demo-project" -s "G:/workspaces/projects/demo-project/target/unification-api/WEB-INF/lib" -o "G:/workspaces/projects/demo-project/target"

掃描報告示例

總結

以上是生活随笔為你收集整理的dependency-check-maven安全漏洞扫描工具介绍的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。