10

我今天尝试使用 Maven 发布插件来发布我的项目。由于dependency-check-maven插件尝试下载2020版本的CVD文件而失败,该文件尚未上传:

无法下载元文件: https ://nvd.nist.gov/feeds/json/cve/1.1/nvdcve-1.1-2020.meta ;收到 404 -- 找不到资源

对NVD 数据馈送页面的简要阅读表明该文件尚未上传。
在此处输入图像描述

显然我可以等待大约 24 小时,这个问题可能会消失;但是,我仍然有兴趣知道如何覆盖此 URL 以在今天发布我的项目。我尝试了一些命令行选项,包括:

mvn 依赖检查:检查 -DcveUrlBase= https://nvd.nist.gov/feeds/json/cve/1.1/nvdcve-1.1-2019.json.gz

但是,它们仍然会导致错误。我知道我可以跳过此检查,但仍希望在 2020 年之前检查所有文件。

这个问题建议使用nist-data-mirror插件创建一个本地存储库,但这似乎与等待 24 小时相比开销很大。

是否有任何命令行或易于恢复的pom.xml编辑可以让我今天发布我的项目?

编辑:这已在插件站点报告为问题。

4

1 回答 1

2

我的建议是创建一个单独的作业来更新数据库以检查您的依赖项,这样当更新失败时,仍然可以进行检查。这有两个额外的优势,首先,检查依赖关系更快,因为您不必每次都建立数据库,其次,更少的请求必须转到 NVD,从而节省资源。

NVD 现在还发布了 2020 CVE,因此目前不需要修复/解决方法,但他创建了一个修复https://github.com/jeremylong/DependencyCheck/commit/217da90bd6991125087f0be3a60a60763194ecf1将包含在即将发布的版本中,这将修复2021年之前的问题,我们可能会再次遇到这个问题。

我还建议将建议保留在您还提到的 github 问题中。讨论当然仍然可以在这里进行。

https://github.com/jeremylong/DependencyCheck/issues/2403

于 2020-01-02T08:07:42.553 回答