owasp maven

我不得不非常遺憾地承認(rèn)，我不知道OWASP依賴檢查maven插件 。 自2013年以來似乎已經(jīng)存在。顯然GitHub上已有千個(gè)項(xiàng)目正在使用它。

過去，我手動(dòng)檢查了依賴項(xiàng)，以根據(jù)漏洞數(shù)據(jù)庫檢查它們，或者在很多情況下，我只是對自己的依賴項(xiàng)所存在的任何漏洞一無所知。

這篇文章的目的就是–推薦OWASP依賴項(xiàng)檢查maven插件是幾乎每個(gè)maven項(xiàng)目中的必備工具。 （也有用于其他構(gòu)建系統(tǒng)的依賴項(xiàng)檢查工具 ）。

添加插件時(shí)，它將生成報(bào)告。 最初，您可以去手動(dòng)升級(jí)有問題的依賴項(xiàng)（我在當(dāng)前項(xiàng)目中升級(jí)了其中的兩個(gè)），或抑制誤報(bào)（例如，cassandra庫被標(biāo)記為易受攻擊，而實(shí)際的漏洞是Cassandra綁定了未經(jīng)身份驗(yàn)證的RMI端點(diǎn)，我已經(jīng)通過堆棧設(shè)置解決了該問題，因此該庫不是問題）。

然后，您可以配置漏洞的閾值，并在出現(xiàn)新漏洞時(shí)使構(gòu)建失敗-通過添加易受攻擊的依賴關(guān)系，或在現(xiàn)有依賴關(guān)系中發(fā)現(xiàn)漏洞的情況下，使構(gòu)建失敗。

所有這些都顯示在示例頁面中 ，非常簡單。 我建議立即添加插件，這是必須的：

<plugin><groupId>org.owasp</groupId><artifactId>dependency-check-maven</artifactId><version>3.0.2</version><executions><execution><goals><goal>check</goal></goals></execution></executions> </plugin>

當(dāng)然，不是所有的玫瑰。 使用reddit的人抱怨說，盡管該插件在本地緩存內(nèi)容，但仍可能顯著降低構(gòu)建速度。 因此，最好將其從常規(guī)構(gòu)建中排除，并在CI系統(tǒng)和/或deploymenet管道中每晚運(yùn)行。

現(xiàn)在，檢查依賴項(xiàng)是否存在漏洞只是確保軟件安全的一個(gè)小方面，它不應(yīng)該給您帶來錯(cuò)誤的安全感（有點(diǎn)“我檢查了我的依賴項(xiàng)，因此我的系統(tǒng)是安全的”謬論）。 但這是一個(gè)重要方面。 并且使該檢查自動(dòng)化是巨大的收獲。

翻譯自: https://www.javacodegeeks.com/2017/12/owasp-dependency-check-maven-plugin-must.html

owasp maven

總結(jié)

以上是生活随笔為你收集整理的owasp maven_OWASP依赖性检查Maven插件–必须具备的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。