この記事ではOWASP Dependency-check-maven 5.0.0
を使って脆弱性を解析します。
やり方
pomにpluginを追加する
pluginに以下を追加します(公式サイトからのコピペなので、バージョンアップ等の確認は公式サイトからどうぞ)。
オプションやコンフィグに関してはここでは解説しませんので、こちらも公式サイトから確認をお願いします。
導入方法
<project>
...
<build>
...
<plugins>
...
<plugin>
<groupId>org.owasp</groupId>
<artifactId>dependency-check-maven</artifactId>
<version>5.0.0</version>
<executions>
<execution>
<goals>
<goal>check</goal>
</goals>
</execution>
</executions>
</plugin>
...
</plugins>
...
</build>
...
</project>
コマンドを打つ
以下のコマンドをプロジェクトルートから打つことで、デフォルトではTarget以下に調査結果のHTMLが出ます。
mvn dependency-check:check
出力されたHTMLは以下のようになります(ぼかしている部分にはプロジェクト名とパッケージ名が入ります)。
(おまけ)アップデートする
結果には脆弱性を持つjarが表示されますが、そのjarが具体的にどのライブラリによって追加されたか(=どのライブラリのアップデートが必要か)は分かりません。
自分はmvn dependency:tree
でどのjarが何によって追加されているか確認し、手動でアップデートしました。
もっといい手段が有れば教えていただけるとありがたいです。