配置dependency-check插件

项目pom中配置dependency-check插件

<plugin>
                <groupId>org.owasp</groupId>
                <artifactId>dependency-check-maven</artifactId>
                <version>7.1.1</version>
                <executions>
                    <execution>
                        <goals>
                            <goal>check</goal>
                        </goals>
                    </execution>
                </executions>
</plugin>

使用插件

image.png

很多情况下， 因为网络问题，会报错，建议配置本地漏洞库

1.通过官方java程序下载漏洞库至指定目录

首先到https://github.com/stevespringett/nist-data-mirror/releases 下载最新的jar包nist-data-mirror.jar，放到一个喜欢的目录，我放到的是D:\soft\NVD下.
执行 java -jar nist-data-mirror.jar nist-data 命令，把漏洞下载到本地nist-data目录中。

这里会报一个PKIX path building failed的报错，解决办法是把下面参考链接中的代码复制到idea项目中，配置下运行时参数为nvd.nist.gov，然后运行main方法，根据提示操作，最终会生成一个jssecacerts文件，复制到JAVA_HOME/jre/lib/security目录下，然后重新执行上面的jar -jar命令，耐心等着就好，时间会比较长。

参考：https://blog.csdn.net/qq_34778576/article/details/108489662 中的方法二