【Maven】OWASP Dependency Checkで依存ライブラリの脆弱性を解析する

この記事ではOWASP Dependency-check-maven 5.0.0を使って脆弱性を解析します。

やり方

pomにpluginを追加する

pluginに以下を追加します（公式サイトからのコピペなので、バージョンアップ等の確認は公式サイトからどうぞ）。
オプションやコンフィグに関してはここでは解説しませんので、こちらも公式サイトから確認をお願いします。

導入方法

<project>
    ...
    <build>
        ...
        <plugins>
            ...
            <plugin>
              <groupId>org.owasp</groupId>
              <artifactId>dependency-check-maven</artifactId>
              <version>5.0.0</version>
              <executions>
                  <execution>
                      <goals>
                          <goal>check</goal>
                      </goals>
                  </execution>
              </executions>
            </plugin>
            ...
        </plugins>
        ...
    </build>
    ...
</project>

コマンドを打つ

以下のコマンドをプロジェクトルートから打つことで、デフォルトではTarget以下に調査結果のHTMLが出ます。

mvn dependency-check:check

出力されたHTMLは以下のようになります（ぼかしている部分にはプロジェクト名とパッケージ名が入ります）。

（おまけ）アップデートする

結果には脆弱性を持つjarが表示されますが、そのjarが具体的にどのライブラリによって追加されたか（=どのライブラリのアップデートが必要か）は分かりません。
自分はmvn dependency:treeでどのjarが何によって追加されているか確認し、手動でアップデートしました。

もっといい手段が有れば教えていただけるとありがたいです。

続き

• 【Maven】OWASP Dependency Checkで警告を抑制する - Qiita

参考にさせていただいた記事

• dependency-check-maven – Usage
• OWASP Dependency-check-mavenを使ってmavenで管理している依存ライブラリの脆弱性をスキャン - Qiita
• OWASP Dependency-Checkを使って依存ライブラリの脆弱性をスキャン - Qiita