问题标签 [maven-dependency-check-plugin]

我今天尝试使用 Maven 发布插件来发布我的项目。由于dependency-check-maven插件尝试下载2020版本的CVD文件而失败，该文件尚未上传：

无法下载元文件： https ://nvd.nist.gov/feeds/json/cve/1.1/nvdcve-1.1-2020.meta ；收到 404 -- 找不到资源

对NVD 数据馈送页面的简要阅读表明该文件尚未上传。

显然我可以等待大约 24 小时，这个问题可能会消失；但是，我仍然有兴趣知道如何覆盖此 URL 以在今天发布我的项目。我尝试了一些命令行选项，包括：

mvn 依赖检查：检查 -DcveUrlBase= https://nvd.nist.gov/feeds/json/cve/1.1/nvdcve-1.1-2019.json.gz

但是，它们仍然会导致错误。我知道我可以跳过此检查，但仍希望在 2020 年之前检查所有文件。

这个问题建议使用nist-data-mirror插件创建一个本地存储库，但这似乎与等待 24 小时相比开销很大。

是否有任何命令行或易于恢复的pom.xml编辑可以让我今天发布我的项目？

编辑：这已在插件站点报告为问题。

我对 Sonatype OSS 索引分析器有暂时的问题。我很确定这是由于我必须通过公司的代理。一些请求失败：

下一个请求很好：

但是由于一个失败请求，整个构建失败了。是否可以创建 Sonatype OSS 索引的镜像或设置重试值？

我正在尝试生成一个 html 报告，以在本地声纳服务器上的 Windows 操作系统中使用 dependency-check-sonar-plugin 和 sonarqube 来识别项目“Angularjs 和 php”中的漏洞。运行此命令后：

我仍然看不到报告并收到此消息：“未找到 HTML 报告。请检查属性 sonar.dependencyCheck.htmlReportPath”我错过了什么吗？这是我的配置文件：

我运行以下命令在代理服务器下运行依赖项检查。

它给了我以下输出：

尽管我使用命令传递了以下参数，但它无法通过代理下载元数据。

谁能帮我解决这个问题，拜托！！

在我的项目中，我dependency-check-maven用来运行 OWASP 验证。项目包含几个 java 模块和一个前端模块。中的配置pom是这样的基本配置

是否可以将插件配置为忽略我的前端模块但分析所有其他模块？

我尝试mvn -Dowasp.dependency-check.excludes=frontend-1.0.1-SNAPSHOT.jar org.owasp:dependency-check-maven:aggregate在我的项目的根文件夹中运行，但验证frontend也在其中完成

我在 Jenkins 中运行 OWASP 依赖项检查。但是，当我使用 Jenkins 自由式作业运行它时，它显示了报告中的 2 个漏洞。但是使用相同的源代码，我使用 Jenkins 管道运行它，它显示了报告，但有 0 个漏洞。

这是我的詹金斯文件：

先感谢您。

我们添加了依赖检查插件 pom.xml

目前我们正在为Gradle 项目使用 Jenkins 自由样式作业，并使用以下命令运行 Sonar 和 Dependencycheck

我收到以下消息

分析/opt/jenkins_slave_home/workspace/AA/package-lock.json- 但是，node_modules 目录不存在。请在运行npm install之前运行依赖项检查为项目 AA_ArbitraryBuild 生成报告在项目 AA 中发现 0 个漏洞

我们可以在“ws/build/reports/”中看到一个文件，但它扫描了任何东西。

以下是“build.gardle”文件

你能帮忙看看我需要添加哪些额外的步骤吗？

错误如下：

詹金斯管道

当我们尝试将 Dependency-check 与上图所示的 Jenkins Pipelow 集成时，它失败了。

关于如何添加disableRetireJS和disableNodeJS的任何想法，当使用mvn org.owasp:dependency-check-maven:check

在下面的代码中显示错误属性“依赖检查”不允许出现在元素“bean”中。