问题标签 [maven-dependency-check-plugin]

我尝试在 Jenkins 的每个测试构建作业中使用 dependency-check-maven：

不幸的是，我遇到了几个项目和节点审计分析器的问题，它检查package-lock.json文件。

在运行 Maven 的插件期间，日志中会出现警告：

导致最终错误：

在大多数有问题的项目中，只有一个错误：SocketException: Connection resetOR IOException: Error writing to server，但有时它们都在同一个构建日志中。

为了使用这个插件，我添加了参数-DnodeAuditAnalyzerEnabled=false，但这不是我想要接受的解决方案。

我试图在调试模式下执行 Maven。这是一个提到错误的堆栈跟踪：

在调试模式下的同一日志中，我发现了 anylyzer 使用的 URL - https://registry.npmjs.org/-/npm/v1/security/audits也许这个服务有一些限制？

如果有任何帮助，我将不胜感激。

我正在尝试将 OWASP 依赖项检查结果与 Fortify 软件安全中心集成以查看我的结果。我已经启用了解析器，它是 OWASP 依赖检查。我正在尝试使用上传工件选项将 Zip 文件 (repot.json,scan.info) 上传到 SSC。上传后，显示错误。有人可以帮助我是否需要更改任何设置或选项？我正在使用 Fortify SSC V20.2.0

我对 aws-java-sdk-managedgrafana maven 插件的最新版本（2021 年 12 月 14 日发布的 1.12.129）使用了依赖项检查

而且它仍然报告了一堆 CRITICAL/HIGH CVE (.ie CVE-2020-27846,CVE-2021-27358)

他们都是假阳性吗？由于此插件仅包含用于与 Amazon Managed Grafana Service 通信的客户端类

我有一个带有 Maven 的 Spring Boot 项目。特定服务的 POM.XML 如下所示：

我运行 [dependency-check-maven] 来扫描漏洞。它发现CVE-2021-26291 使用mvn dependency:tree我发现它在它里面exec-maven-plugin 提到的细节中：

如果您当前正在使用存储库管理器来管理您的构建使用的存储库，那么您不会受到遗留行为中存在的风险的影响

但是我们没有存储库管理器（它只是一个小项目）。而且我无法升级版本，因为依赖项exec-maven-plugin已经是最新版本3.0.0

现在，当我完全删除依赖项时（甚至不确定我必须解决什么！）它在maven-core-3.1.1内部发现相同的漏洞spring-boot-maven-plugin 这里也是如此：它已经是最新版本2.6.2

有没有办法这个漏洞，而不使用存储库管理器？

我想在我的 Spring Boot 应用程序中实现一个解决方案，帮助我检测和扫描我在分支中添加的依赖项的漏洞，而不是在我创建分支时已经在 pom.xml 中的依赖项。我使用 maven 和依赖检查来检查漏洞，但因此工具会检查所有漏洞。任何帮助

我正在尝试将已确认风险的某些库列入白名单 - 理想情况下，我想从内部执行此操作pom.xml，但似乎这是不可能的。

我创建了一个简单的项目，其依赖项 (H2) 具有出色的 CVE，并dependency-check-maven配置了一个suppressions文件以忽略该依赖项，使用从Dependency-Check-Report

pom.xml：

owasp-suppressions.xml：

但尽管如此，构建仍然失败：

谁能告诉我我做错了什么，好吗？

我正在尝试使用依赖检查插件通过 jenkins 对 sonarqube 运行依赖检查。我能够生成报告。但它没有显示在漏洞部分的声纳上。它说 0 个漏洞。我还在 sonarqube 服务器上安装了依赖项检查插件。如果我通过依赖项检查的路径，它能够在仪表板上显示报告。但我需要显示漏洞选项卡。 在执行 sonarqube 扫描仪 sonar.properties 分析的Invoke Dependency check的jenkins 的Post Steps部分执行以下操作 --project sample --scan target/*.war --format HTML

在 sonarqube 仪表板上，所有部分都很好，例如质量网关、新错误……但漏洞显示为零。我一直尝试，但没有运气