Du verwendest einen veralteten Browser. Es ist möglich, dass diese oder andere Websites nicht korrekt angezeigt werden. Du solltest ein Upgrade durchführen oder ein alternativer Browser verwenden.
Maven Projekt Abhängigkeiten auf bekante Schwachstellen prüfen
Ich würde gerne ein größeres Maven Projekt auf bekannte Schwachstellen Überprüfen.
Gibt es tools denen ich ein POM file übergebe und dieses (und ggf darin referenzierte POMs) einliest und die darin enthaltenen dependencies (samt versions- Information) untersucht und mit offenen Schwachstellen Datenbanken vergleicht um am Ende einen Report auf zu listen der mich informiert über:
Dependency name
Dependency Version
Liste gefundener Schwachstellen
(ggf in welcher version sie behoben wurden)
(ggf auf welche Version ein Update empfehlenswert ist (in welcher keine bekannte Schwachstelle ist))
welche die letzte verfügbare Version für diese Abhängigkeit ist
Gibt es (einfache) Kostenlose tools die dies erledigen können?
Wobei man die Ausgabe definitiv von Hand genau prüfen muss.. Wir nutzen das und haben:
* Diverse False Positives (Weil das mit regulären Ausdrücken arbeitet und daher manchmal etwas breit matchen
* Dependencies angemeckert, die auf provided stehen, weil die im JEE Server drin sind - da die Version in der POM hochdrehen, löst zwar die Meldung, aber nicht das Problem.
Hmmm - scheint nicht besonders gut zu funktionieren
Läuft zwar brav durch - aber der Report erscheint mir falsch zu erstellt werden (habe das mit ein paar simplen Projecten (mit paar sub modulen)
aber leider ...
[CODE lang="bash" title="Scan Information (show less):"]
dependency-check version: 6.2.2
Report Generated On: Fri, 13 Aug 2021 00:20:29 +0200
Dependencies Scanned: 0 (0 unique)
Vulnerable Dependencies: 0
Vulnerabilities Found: 0
Vulnerabilities Suppressed: 0
NVD CVE Checked: 2021-08-13T00:20:14
NVD CVE Modified: 2021-08-13T00:00:01
VersionCheckOn: 2021-08-13T00:20:14[/CODE]
schade.
werde da wohl noch länger rum spielen müssen (wobei mir momentan nicht klar ist woran).
Wobei man die Ausgabe definitiv von Hand genau prüfen muss.. Wir nutzen das und haben:
* Diverse False Positives (Weil das mit regulären Ausdrücken arbeitet und daher manchmal etwas breit matchen
* Dependencies angemeckert, die auf provided stehen, weil die im JEE Server drin sind - da die Version in der POM hochdrehen, löst zwar die Meldung, aber nicht das Problem.
Habe rausgefunden, das es nicht klappt das sub-module gescannt werden.
Also muss das scan-plugin in jedes Modul (pom) eingebunden werden. die Ergebnisse können dann aggregiert werden.
Ist aber leider umständlich.
