Многие разработчики, с которыми я общаюсь, похоже, считают, что безопасность – это ответственность кого-то другого. Сетевой парень, парень из службы безопасности, кто-то, кто не является им или ею. Я не эксперт в области безопасности, но когда я работаю над проектом, мне нравится верить, что безопасность – это тоже моя ответственность. И одна маленькая вещь, которую я могу сделать, – это проверить библиотеки, которые я использую в своем проекте, на наличие известных уязвимостей. Если один найден, я сразу же пытаюсь его обновить. Если по какой-то причине это невозможно, я, по крайней мере, осведомлен о проблеме.
В проекте java вы можете добавить плагин owasp в свой maven pom.xml:
org.owasp dependency-check-maven 4.0.2 12 check
Это покажет вам результат, подобный этому:
One or more dependencies were identified with known vulnerabilities in test-project: microprofile-rest-client-api-1.0.jar (org.eclipse.microprofile.rest.client:microprofile-rest-client-api:1.0, cpe:/a:rest-client_project:rest-client:1.0) : CVE-2015-1820, CVE-2015-3448 deltaspike-core-api-1.8.0.jar (cpe:/a:apache:deltaspike:1.8.0, org.apache.deltaspike.core:deltaspike-core-api:1.8.0) : CVE-2017-17837 libthrift-0.9.2.jar (cpe:/a:apache:thrift:0.9.2, org.apache.thrift:libthrift:0.9.2) : CVE-2015-3254 stagemonitor-tracing-elasticsearch-0.87.6.jar (org.stagemonitor:stagemonitor-tracing-elasticsearch:0.87.6, cpe:/a:elasticsearch:elasticsearch:0.87.6) : CVE-2014-3120, CVE-2015-1427, CVE-2015-5531, CVE-2014-6439, CVE-2015-3337 jaeger-core-0.22.0-RC1-okhttp381.jar/META-INF/maven/org.apache.httpcomponents/httpclient/pom.xml (cpe:/a:apache:httpclient:4.2.5, org.apache.httpcomponents:httpclient:4.2.5) : CVE-2015-5262, CVE-2014-3577
И это все.
Оригинал: “https://dev.to/kgoedert/checking-for-vulnerabilities-on-your-java-projects-2h7a”