一起來看看Dependency Check的實戰應用
Dependency Check來檢查代碼中是否存在任何已知的,公開披露的安全漏洞。他檢查依賴項中是否存在漏洞的原理也跟我們熟知的病毒查殺軟件一樣,預先定義好目前已知的安全漏洞庫,檢查依賴包時,發現這些漏洞就會報錯,最后定期更新安全漏洞庫即可!關于Dependcy check 的原理和基礎使用方式我在前面的文章中已經介紹了,具體參考文章:
代碼依賴包安全漏洞檢測神器——Dependency Check
本文我會重點介紹一下dependency check在實戰中的使用細節,主要包括在maven中的使用配置和命令行方式的使用細節。
Maven方式
在maven構建時,執行dependency check的jar包依賴檢測工作。
基礎配置如下:
如果需要添加參數,需要在
- <configuration>
- <failBuildOnCVSS>8</failBuildOnCVSS>
- </configuration>
dependency maven中常用的配置如下所示:
其中cveUrlModified 和cveUrlBase可以指定本地的nvd庫來提高更新效率;
outputDirectory 指定了檢測報告的生成位置,默認是html報告;
excludes 設置不需要檢測的jar包,在實際項工作中,經常有一些維護類的項目,使用的框架版本很低,例如spring 3.x版本,會有很多的jar包安全問題,基于某些原因這些jar包不能升級,因此使用dependency check檢測時需要跳過對這些jar包的檢測,這時就需要使用excludes參數了。注意:這個格式是固定的,采用
groupId:artifactId::version的形式(此處花費我很多時間調試)
如果想參考更多關于dependency check maven configuration的配置請參考:
https://jeremylong.github.io/DependencyCheck/dependency-check-maven/configuration.html
命令行方式
關于dependency-check的命令行參數的具體使用大家可以通過下面命令查看詳情
- dependency-check.bat --advancedHelp
在這里我給大家介紹幾點需要特別注意的地方
參數--format 用來指定輸出報告的格式,默認是html
如果設置--format ALL,將會分別生成HTML, XML, CSV, JSON形式的檢測報告。如果需要生成多種格式的測試報告可以進行如下設置:
- --format HTML --format CSV
會只生成html 和csv兩種格式的測試報告,命名為
- dependency-check-report.csv和dependency-check-report.html
--out 報告路徑,會指定生成報告的路徑
--exclude A.jar,不檢測A.jar,如果不檢測多個jar包,則需要設置如下:
- --exclude A.jar --exclude B.jar --exclude C.jar…形式比較麻煩。
- --scan ./ 對當前目錄進行掃描,可以直接掃描maven工程的項目。
