# Maven Projekt Abhängigkeiten auf bekante Schwachstellen prüfen



## PFEdi (11. Aug 2021)

Hi, 

Ich würde gerne ein größeres Maven Projekt auf bekannte Schwachstellen Überprüfen.

Gibt es tools denen ich ein POM file übergebe und dieses (und ggf darin referenzierte POMs) einliest und die darin enthaltenen dependencies (samt versions- Information) untersucht und mit offenen Schwachstellen Datenbanken vergleicht um am Ende einen Report auf zu listen der mich informiert über:

Dependency name
Dependency Version
Liste gefundener Schwachstellen 
(ggf in welcher version sie behoben wurden)
(ggf auf welche Version ein Update empfehlenswert ist (in welcher keine bekannte Schwachstelle ist))
welche die letzte verfügbare Version für diese Abhängigkeit ist

Gibt es (einfache) Kostenlose tools die dies erledigen können?


----------



## mrBrown (11. Aug 2021)

__





						dependency-check-maven – Usage
					





					jeremylong.github.io
				






PFEdi hat gesagt.:


> welche die letzte verfügbare Version für diese Abhängigkeit ist


und explizit dafür: https://www.mojohaus.org/versions-maven-plugin/


----------



## LimDul (11. Aug 2021)

Wobei man die Ausgabe definitiv von Hand genau prüfen muss.. Wir nutzen das und haben:

* Diverse False Positives (Weil das mit regulären Ausdrücken arbeitet und daher manchmal etwas breit matchen
* Dependencies angemeckert, die auf provided stehen, weil die im JEE Server drin sind - da die Version in der POM hochdrehen, löst zwar die Meldung, aber nicht das Problem.


----------



## PFEdi (13. Aug 2021)

mrBrown hat gesagt.:


> __
> 
> 
> 
> ...



Hmmm - scheint nicht besonders gut zu funktionieren 
Läuft zwar brav durch - aber der Report erscheint mir falsch zu erstellt werden (habe das mit ein paar simplen Projecten (mit paar sub modulen)
aber leider ... 
[CODE lang="bash" title="Scan Information (show less):"]
    dependency-check version: 6.2.2
    Report Generated On: Fri, 13 Aug 2021 00:20:29 +0200
    Dependencies Scanned: 0 (0 unique)
    Vulnerable Dependencies: 0
    Vulnerabilities Found: 0
    Vulnerabilities Suppressed: 0
    NVD CVE Checked: 2021-08-13T00:20:14
    NVD CVE Modified: 2021-08-13T00:00:01
    VersionCheckOn: 2021-08-13T00:20:14[/CODE]

schade.
werde da wohl noch länger rum spielen müssen (wobei mir momentan nicht klar ist woran).



LimDul hat gesagt.:


> Wobei man die Ausgabe definitiv von Hand genau prüfen muss.. Wir nutzen das und haben:
> 
> * Diverse False Positives (Weil das mit regulären Ausdrücken arbeitet und daher manchmal etwas breit matchen
> * Dependencies angemeckert, die auf provided stehen, weil die im JEE Server drin sind - da die Version in der POM hochdrehen, löst zwar die Meldung, aber nicht das Problem.


Nein, das ist klar, dass man sich das noch ansehen muss ... aber der tip mit "provided" ist gut.


----------



## PFEdi (12. Sep 2021)

Habe rausgefunden, das es nicht klappt das sub-module gescannt werden. 
Also muss das scan-plugin in jedes Modul (pom) eingebunden werden. die Ergebnisse können dann aggregiert werden. 
Ist aber leider umständlich.


----------

