【项目安全漏洞扫描】dependency-check插件配置本地

2022-06-16  本文已影响0人  进击的小马哥

配置dependency-check插件

项目pom中配置dependency-check插件

<plugin>
                <groupId>org.owasp</groupId>
                <artifactId>dependency-check-maven</artifactId>
                <version>7.1.1</version>
                <executions>
                    <execution>
                        <goals>
                            <goal>check</goal>
                        </goals>
                    </execution>
                </executions>
</plugin>

使用插件

image.png

很多情况下, 因为网络问题,会报错,建议配置本地漏洞库

1.通过官方java程序下载漏洞库至指定目录

首先到https://github.com/stevespringett/nist-data-mirror/releases 下载最新的jar包nist-data-mirror.jar,放到一个喜欢的目录,我放到的是D:\soft\NVD下.
执行 java -jar nist-data-mirror.jar nist-data 命令,把漏洞下载到本地nist-data目录中。

这里会报一个PKIX path building failed的报错,解决办法是把下面参考链接中的代码复制到idea项目中,配置下运行时参数为nvd.nist.gov,然后运行main方法,根据提示操作,最终会生成一个jssecacerts文件,复制到JAVA_HOME/jre/lib/security目录下,然后重新执行上面的jar -jar命令,耐心等着就好,时间会比较长。

参考:https://blog.csdn.net/qq_34778576/article/details/108489662 中的方法二

上一篇下一篇

猜你喜欢

热点阅读