前置条件:先下载dependency check文件包
Dependency-Check工具下载地址https://owasp.org/www-project-dependency-check/,在右侧选择command line,如下图:
方式一:用命令行来运行
windows下的命令 dependency-check.bat --disableRetireJS --disableNodeJS --project test -s D:\checkjar\ -o D:\report\
这个命令格式有点儿问题,好像是空格之类的问题,后面要修改
方式二:maven方式扫描
1.在pom.xml文件中增加dependency-check-maven插件的配置,如下:
<build> <plugins> <plugin> <groupId>org.owasp</groupId> <artifactId>dependency-check-maven</artifactId> <version>6.1.0</version> <executions> <execution> <goals> <goal>check</goal> </goals> </execution> </executions> </plugin> </plugins> </build>
2.执行maven org.owasp:dependency-check-maven:check
可以看到 target包下生成了一个报告
点击jar包可以看到修复建议
参考链接:
代码依赖包安全漏洞检测神器 —— Dependency Check_liwenxiang629的博客-CSDN博客
使用OWASP Dependency-Check对应用做个安检 - 踩刀诗人 - 博客园