Dependency Check来检查代码中是否存在任何已知的,公开披露的安全漏洞。他检查依赖项中是否存在漏洞的原理也跟我们熟知的病毒查杀软件一样,预先定义好目前已知的安全漏洞库,检查依赖包时,发现这些漏洞就会报错,最后定期更新安全漏洞库即可!关于Dependcy check 的原理和基础使用方式我在前面的文章中已经介绍了,具体参考文章:
代码依赖包安全漏洞检测神器——Dependency Check
本文我会重点介绍一下dependency check在实战中的使用细节,主要包括在maven中的使用配置和命令行方式的使用细节。
Maven方式
在maven构建时,执行dependency check的jar包依赖检测工作。
基础配置如下:
如果需要添加参数,需要在
- <configuration>
- <failBuildOnCVSS>8</failBuildOnCVSS>
- </configuration>
dependency maven中常用的配置如下所示:
其中cveUrlModified 和cveUrlBase可以指定本地的nvd库来提高更新效率;
outputDirectory 指定了检测报告的生成位置,默认是html报告;
excludes 设置不需要检测的jar包,在实际项工作中,经常有一些维护类的项目,使用的框架版本很低,例如spring 3.x版本,会有很多的jar包安全问题,基于某些原因这些jar包不能升级,因此使用dependency check检测时需要跳过对这些jar包的检测,这时就需要使用excludes参数了。注意:这个格式是固定的,采用
groupId:artifactId::version的形式(此处花费我很多时间调试)
如果想参考更多关于dependency check maven configuration的配置请参考:
https://jeremylong.github.io/DependencyCheck/dependency-check-maven/configuration.html
命令行方式
关于dependency-check的命令行参数的具体使用大家可以通过下面命令查看详情
- dependency-check.bat --advancedHelp
在这里我给大家介绍几点需要特别注意的地方
参数--format 用来指定输出报告的格式,默认是html
如果设置--format ALL,将会分别生成HTML, XML, CSV, JSON形式的检测报告。如果需要生成多种格式的测试报告可以进行如下设置:
- --format HTML --format CSV
会只生成html 和csv两种格式的测试报告,命名为
- dependency-check-report.csv和dependency-check-report.html
--out 报告路径,会指定生成报告的路径
--exclude A.jar,不检测A.jar,如果不检测多个jar包,则需要设置如下:
- --exclude A.jar --exclude B.jar --exclude C.jar…形式比较麻烦。
- --scan ./ 对当前目录进行扫描,可以直接扫描maven工程的项目。