2

在我的项目中,我dependency-check-maven用来运行 OWASP 验证。项目包含几个 java 模块和一个前端模块。中的配置pom是这样的基本配置

<plugin>
    <groupId>org.owasp</groupId>
    <artifactId>dependency-check-maven</artifactId>
    <version>5.3.2</version>
    <configuration>
        <failBuildOnCVSS>4</failBuildOnCVSS>
        <suppressionFiles>
            <suppressionFile>owasp-suppressions.xml</suppressionFile>
        </suppressionFiles>
        <cveUrlBase>...</cveUrlBase>
        <cveUrlModified>...</cveUrlModified>
        <format>ALL</format>
        <assemblyAnalyzerEnabled>false</assemblyAnalyzerEnabled>
        <cveValidForHours>24</cveValidForHours>
    </configuration>
</plugin>

是否可以将插件配置为忽略我的前端模块但分析所有其他模块?

我尝试mvn -Dowasp.dependency-check.excludes=frontend-1.0.1-SNAPSHOT.jar org.owasp:dependency-check-maven:aggregate在我的项目的根文件夹中运行,但验证frontend也在其中完成

4

1 回答 1

0

我有同样的问题忽略依赖检查要分析的一些 javascript 模块。

正如您在https://github.com/jeremylong/DependencyCheck/issues/1009看到的那样,开发人员有一个开放的 PR 来解决这个请求。

我通过不构建 javascript 模块解决了这个问题:

mvn verify -pl '!frontend'

这只是在本地获取依赖项检查结果的一种解决方法。

也许存在更好的想法?

于 2021-11-30T18:24:02.813 回答