最近在搞Java的后端项目,需要更新jar依赖包,找到了一个jar包漏洞检测的插件Dependency Check。
Dependency-Check是OWASP(Open WebApplication Security Project)的一个实用开源程序,用于识别项目依赖项并检查是否存在任何已知的,公开披露的漏洞。目前,已支持Java、.NET、Ruby、Node.js、Python等语言编写的程序,并为C/C++构建系统(autoconf和cmake)提供了有限的支持。官网地址:OWASP Dependency-Check Project | OWASP
用下来感觉不错,可以看到整个项目依赖包存在的漏洞,然后在根据建议修改。
我的后端Java项目是用Maven构建的,所以在pom.xml文件中添加依赖,Maven仓库地址
https://mvnrepository.com/artifact/org.owasp/dependency-check-maven
org.owasp dependency-check-maven6.5.2
接着在
org.owasp
dependency-check-maven
true
check
配置完后,就可以运行检查了,直接在IDEA的Maven中点击运行
运行结束后,会在target下生成检测报告dependency-check-report.html,直接浏览器打开查看就可以了
然后,根据漏洞等级高的jar版本修改就可以了 ,IDEA中直接可以选择依赖包的版本,我用的IDEA版本是2021.3.1的。这个挺方便的。
参考文献
1、更新代码到本地_代码依赖包安全漏洞检测神器——Dependency Check
2、Maven安全检查(owasp dependency-check)_
