代码之家  ›  专栏  ›  技术社区  ›  Stephan

owasp依赖项检查maven vs命令行结果不相同

maven-dependency-plugin owasp maven-3 maven java
  •  0
  • Stephan  · 技术社区  · 6 年前

    在一个maven项目中,我同时运行owasp依赖项检查maven插件和owasp命令行工具,以便生成具有漏洞的依赖项的报告。

    我不能理解的是,这两种工具是如何运作的。在细节上, 我注意到maven插件(dependency check maven)报告了45个易受攻击的依赖项,而命令行工具报告了34个。

    例如,maven插件报告undertow-core-1.2.9.final.jar(由undertow servlet依赖项提供)存在严重漏洞,而通过命令行检查,此依赖项根本不会出现在列表中。我正在使用以下命令运行命令行工具: 依赖项检查--项目“myproject”--扫描“c:\path\myproject”--disableretirejs

    可能是命令行工具扫描项目目录中现有的JAR文件,而Maven插件通过POM.XML中定义的依赖性呢?

    0 回复  |  直到 6 年前
    推荐文章
    mikeb  ·  Maven和Spring引导-我需要强制logback 1.5.13,但不能
    8 月前
    user23381600  ·  如何将org.eclipse.swt打包到项目jar中
    8 月前
    user2609605  ·  github上的CI:日志不完整
    1 年前
    DoWhileFor  ·  无法在从Dockerfile运行web应用程序时将上下文路径设置为/
    1 年前
    DoWhileFor  ·  访问子页面的Servlet问题-HTTP 404-Tomcat 10.1.124-java 11
    1 年前
    adp-code  ·  Pom文件设置-春季启动需要记住的事情
    1 年前
    nvcleemp  ·  如何使用Java中不指定模块的库?
    1 年前
    dynamo  ·  我的.properties文件没有被提取,我的maven配置文件属性也没有被注入
    1 年前
    PAWAR G  ·  为什么XML不能在Eclipse IDE中以通常的方式显示?
    1 年前
    not2savvy  ·  如何在owasp-dependence-check-Maven插件中将更新CVE数据库与扫描分离?
    1 年前
    关于   移动版
    代码之家 - 一站式码农服务社区
    沪ICP备11025650号