禁用owasp依赖检查maven插件中的模块

Posted

技术标签:

【中文标题】禁用owasp依赖检查maven插件中的模块【英文标题】:Disable modules in owasp dependency-check maven plugin 【发布时间】:2020-11-29 23:09:45 【问题描述】:

在我的项目中,我使用dependency-check-maven 运行 OWASP 验证。项目包含几个 java 模块和一个前端模块。 pom 中的配置是这样的基本配置

<plugin>
    <groupId>org.owasp</groupId>
    <artifactId>dependency-check-maven</artifactId>
    <version>5.3.2</version>
    <configuration>
        <failBuildOnCVSS>4</failBuildOnCVSS>
        <suppressionFiles>
            <suppressionFile>owasp-suppressions.xml</suppressionFile>
        </suppressionFiles>
        <cveUrlBase>...</cveUrlBase>
        <cveUrlModified>...</cveUrlModified>
        <format>ALL</format>
        <assemblyAnalyzerEnabled>false</assemblyAnalyzerEnabled>
        <cveValidForHours>24</cveValidForHours>
    </configuration>
</plugin>

是否可以将插件配置为忽略我的前端模块但分析所有其他模块?

我尝试在项目的根文件夹中运行mvn -Dowasp.dependency-check.excludes=frontend-1.0.1-SNAPSHOT.jar org.owasp:dependency-check-maven:aggregate,但验证也在frontend 中完成

【问题讨论】:

【参考方案1】:

我有同样的问题要忽略依赖检查分析的一些 javascript 模块。

正如您在https://github.com/jeremylong/DependencyCheck/issues/1009 看到的那样,开发人员有一个开放的 PR 来解决这个请求。

我通过不构建 javascript 模块解决了这个问题:

mvn verify -pl '!frontend'

这只是在本地获取依赖检查结果的一种解决方法。

也许还有更好的想法?

【讨论】:

以上是关于禁用owasp依赖检查maven插件中的模块的主要内容,如果未能解决你的问题,请参考以下文章

如何解决 owasp 依赖项检查中的代理问题?

devops===》dependency-check-maven项目漏洞检查

devops===》dependency-check-maven项目漏洞检查

如何仅使用“版本 Maven 插件”检查***(pom-listed)包的更新?

Maven插件作为多模块项目中的依赖项

使用 Maven 执行器跳过模块