前沿速递:Maven中央仓库新增依赖漏洞提醒功能
The following article is from 码农小胖哥 Author 请关注星标
前沿技术早知道,弯道超车有希望
积累超车资本,从关注DD开始
❝
是的,如果以后在PPT中看到“Maven中有一些关键漏洞”时你应该理解为“这些在Maven中央仓库的依赖组件存在漏洞”。
上面是Apache Maven官方针对下图的一个回应:
除了借此来暗讽Snyk公司(全球知名的应用安全解决方案提供商)的高级工程师不懂Maven和Maven Center的区别外,还带来了Maven中央仓库久违的改变。Maven中央仓库(mvnrepository.com)近期悄悄增加了一个功能,在依赖列表增加了一个Vulnerabilities红色高亮字段,这个字段用来展示当前依赖版本的漏洞信息,以提醒那些还没有注意到该漏洞信息的开发者,方便评估漏洞并加以规避。
❝
请注意必须是已被公布的漏洞才会被显示,Maven 中央仓库本身不具备扫描漏洞的能力。
胖哥认为这项举措非常及时,意在引入一个机制来应对像Log4j2漏洞一样的风险。Log4j2漏洞的余波仍未平息。根据Google的统计,目前有超过35,000个 Java 类库受 Log4j 漏洞影响,占Maven中央仓库存储的类库总数的8%,对整个软件行业都造成了广泛的后果。专家们分析了修复影响Maven 包的关键公告中报告的缺陷所花费的时间,并确定只有 48% 的受漏洞影响的工件已得到修复,整个过程可能需要数年时间。
另外如果你不想在项目中使用已知安全漏洞的类库,你也可以通过下面的Maven插件来完成扫描操作:
<plugin>
<groupId>org.owasp</groupId>
<artifactId>dependency-check-maven</artifactId>
<version>6.5.1</version>
<executions>
<execution>
<goals>
<goal>check</goal>
</goals>
</execution>
</executions>
</plugin>
当执行mvn verify时,它会产生以下输出:
One or more dependencies were identified with known vulnerabilities in ctlog:
httpclient-4.3.3.jar (cpe:/a:apache:httpclient:4.3.3, org.apache.httpcomponents:httpclient:4.3.3) : CVE-2015-5262, CVE-2014-3577
bcprov-jdk15on-1.49.jar (cpe:/a:bouncycastle:bouncy-castle-crypto-package:1.49, cpe:/a:bouncycastle:bouncy_castle_crypto_package:1.49, org.bouncycastle:bcprov-jdk15on:1.49) : CVE-2015-7940
See the dependency-check report for more details.
//如果您正在学习Spring Boot
//那么推荐一个连载多年还在继续更新的免费教程:http://blog.didispace.com/spring-boot-learning-2x/
并且可以生成漏洞报告,以方便安全团队评估。
2021年马上就要过去了,提前给各位同学说声元旦快乐。
感谢大家一年的陪伴,我们2022年见!
最后,如果你还没有关注DD,点击卡片关注我哟!
前沿技术早知道,弯道超车有希望
积累超车资本,从关注DD开始
往期推荐
点击阅读原文,送你免费Spring Boot教程!