sbt dependency check
v5.1.0
يتيح المكون الإضافي لـ SBT-Dependency-Check للمشاريع مراقبة المكتبات المعتمدة على نقاط الضعف المعروفة والمنشورة (مثل CVES). يحقق المكون الإضافي هذا باستخدام مكتبة OWASP RependencyCheck Awesome التي تقدم بالفعل العديد من التكامل مع أنظمة البناء والتكامل المستمرة الأخرى. لمزيد من المعلومات حول كيفية عمل OWASP DependencyCheck وكيفية قراءة التقارير تحقق من وثائق المشروع.
SBT-Dependency-Check هو حلو الأطراف. ما عليك سوى إضافة المكون الإضافي إلى ملف project/plugins.sbt .
addSbtPlugin("net.vonbuchholtz" % "sbt-dependency-check" % "5.1.0")
استخدم SBT-Dependency-CECK v2.0.0 أو أعلى لأن الإصدارات السابقة غير متوافقة مع خلاصات NVD بعد الآن. بدءًا من SBT-Dependency-CECK v3.0.0 SBT V0.13.x لم يعد مدعومًا.
| مهمة | وصف | يأمر |
|---|---|---|
| الاعتماد | يدير الفحص التبعية مقابل المشروع الحالي ، ومجامياته وتبعياته وينشئ تقريرًا لكل مشروع. | $ sbt dependencyCheck |
| DependencyCheckaggregate | يدير الفحص التبعية مقابل المشروع الحالي ومجامياته وتبعياته وينشئ تقريرًا واحدًا في دليل إخراج المشروع الحالي. | $ sbt dependencyCheckAggregate |
| DependencyCheckanyProject | يدير فحص التبعية مقابل جميع المشاريع والمجاميع والتبريات وينشئ تقريرًا واحدًا في دليل إخراج المشروع الحالي. | $ sbt dependencyCheckAnyProject |
| DependencyCheckupDateOnly | يقوم بتحديث ذاكرة التخزين المؤقت المحلية لبيانات NVD من NIST. | $ sbt dependencyCheckUpdateOnly |
| DependencyCheckpurge | يحذف النسخة المحلية من NVD. يستخدم هذا لفرض تحديث البيانات. | $ sbt dependencyCheckPurge |
| DependencyCheckListsettings | يطبع جميع الإعدادات وقيمها للمشروع. | $ sbt dependencyCheckListSettings |
سيتم كتابة التقارير إلى الموقع الافتراضي crossTarget.value . يمكن الكتابة فوق هذا عن طريق ضبط dependencyCheckOutputDirectory . انظر التكوين للحصول على التفاصيل.
ملاحظة: قد يستغرق التشغيل الأول بعض الوقت حيث يجب تنزيل البيانات الكاملة من قاعدة بيانات الضعف الوطنية (NVD) التي تستضيفها NIST: https://nvd.nist.gov واستيرادها في قاعدة البيانات. سيتم تنزيل عمليات التشغيل اللاحقة فقط لمجموعات التغيير ما لم يكن التحديث الأخير منذ أكثر من 7 أيام. يوصى بإعداد مرآة لتغذية NVD في شبكتك المحلية لتقليل خطر الحد من المعدل. انظر https://github.com/stevespringett/nist-data-mirror للحصول على التعليمات.
يستخدم sbt-dependency-check التكوين الافتراضي لـ OWASP DependencyCheck. يمكنك تجاوزها في ملفات build.sbt الخاصة بك. استخدم Task dependencyCheckListSettings لطباعة جميع الإعدادات المتاحة وقيمها إلى وحدة التحكم SBT.
| جلسة | وصف | القيمة الافتراضية |
|---|---|---|
| DependencyCheckautoupdate | يحدد ما إذا كان التحديث التلقائي لـ NVD CVE/CPE ، Retirejs و DETESTEDS يتم تمكين البيانات المستضافة. لا ينصح أن يتحول هذا إلى خطأ. | حقيقي |
| DependencyCheckCvevalidforhours | يحدد عدد الساعات للانتظار قبل التحقق من التحديثات الجديدة من NVD. | 4 |
| DependencyCheckFailbuildoncvss | يحدد ما إذا كان ينبغي فشل البناء إذا تم تحديد درجة CVSS أعلاه ، أو تساوي ، مستوى محدد. الافتراضي هو 11 وهو ما يعني أن درجات CVSS هي 0-10 ، بشكل افتراضي لن يفشل البناء أبدًا. يمكن العثور على مزيد من المعلومات حول درجات CVSS في NVD | 11.0 |
| DependencheckJunitFailbuildoncvss | إذا كان استخدام Junit Report تنسيقًا ، فإن DependencyCheckJunitFailonCVSS يعين عتبة نقاط CVSS التي تعتبر فشلًا. القيمة الافتراضية هي 0 - تعتبر جميع نقاط الضعف فشلًا. | 0 |
| DependencyCheckformat | تنسيق التقرير الذي سيتم إنشاؤه (HTML ، XML ، Junit ، CSV ، JSON ، SARIF ، Jenkins ، All). يتم تجاهل هذا الإعداد إذا تم تعيين DependencyCheckReportFormats. | HTML |
| DependencyCheckformats | سلسلة من تنسيقات التقارير التي سيتم إنشاؤها (HTML ، XML ، Junit ، CSV ، JSON ، SARIF ، Jenkins ، All). | |
| DependencyCheckOutputDirectory | موقع كتابة التقرير (التقرير). | crossTarget.value على سبيل المثال ./target/scala-2.11 |
| DependencyCheckscanset | تسلسل اختياري للملفات التي تحدد ملفات و/أو أدلة إضافية لتحليلها كجزء من المسح. إذا لم يتم تحديدها ، فإن الإعدادات الافتراضية إلى اتفاقيات Scala القياسية (انظر وثائق SBT للحصول على التفاصيل). | /src/main/resources |
| DependencyCheckkskip | يتخطى تحليل الاختيار التبعية | خطأ شنيع |
| DependencyCheckskiptestScope | تحليل التحليل للقطع الأثرية مع نطاق الاختبار | حقيقي |
| DependencyCheckkipRuntimesCope | تحليل التحليل للقطع الأثرية مع نطاق وقت التشغيل | خطأ شنيع |
| DependencyCheckkiprovidedScope | تحليل التحليل للقطع الأثرية مع نطاق توفير | خطأ شنيع |
| DependencyCheckskipoptionalscope | تحليل التحليل للقطع الأثرية مع نطاق اختياري | خطأ شنيع |
| DependencyChecksupressionfilsfiles | تسلسل مسارات الملف إلى ملفات قمع XML - المستخدمة لقمع الإيجابيات الخاطئة. انظر قمع الإيجابيات الخاطئة لبناء جملة الملف. | |
| DependencyCheckCpestartswith | سلسلة البداية لتحديد CPEs المؤهلة لاستيرادها. | |
| DependencyCheckhintsfile | مسار الملف إلى ملف تلميحات XML - يستخدم لحل السلبيات الخاطئة. | |
| DependencyCheckusEsBtModuleIdasgav | استخدم SBT ModuleId كمعرف GAV. يضمن أن GAV متاح حتى لو لم يكن Maven Central. | خطأ شنيع |
| DependencyCheckanalySistimeout | اضبط مهلة التحليل في دقائق | 20 |
| DependencyCheckEnableExperimental | تمكين المحللين التجريبيين. إذا لم يتم تمكينها ، فلن يتم تحميل المحللين التجريبيين (انظر أدناه). | خطأ شنيع |
| DependencyCheckEnableretired | تمكين المحللين المتقاعدين. إذا لم يتم تمكين التحليلات المتقاعدة ، فلن يتم تحميلها أو استخدامها. | خطأ شنيع |
يتم استخدام الخصائص التالية لتكوين محللون نوع الملفات المختلفة. يمكن استخدام هذه الخصائص لإيقاف محلل محدد إذا لم يكن هناك حاجة إليها. لاحظ أن المحللين المحددين سوف يعطون أنفسهم تلقائيًا إذا لم يتم الكشف عن أنواع الملفات التي يدعمونها - لذلك قد لا تكون هناك حاجة إلى تعطيلها على وجه التحديد. لمزيد من المعلومات حول المحللين الفرديين ، انظر وثائق محلل التبعية.
| جلسة | وصف | القيمة الافتراضية |
|---|---|---|
| DependencyCheckArchiveAnalyzerenabled | يحدد ما إذا كان سيتم استخدام محلل الأرشيف. | حقيقي |
| DependencyCheckzipextensions | قائمة مفصولة بفاصلة من ملحقات الملفات الإضافية التي سيتم التعامل معها مثل ملف zip ، سيتم استخراج المحتويات وتحليلها. | |
| DependencyCheckJarAnalyzerenabled | مجموعات ما إذا كان سيتم استخدام محلل JAR. | حقيقي |
| DependencyCheckdartAnalyzerenabled | يحدد ما إذا تم تمكين محلل DART التجريبي. يجب ضبط dependencyCheckEnableExperimental على صحيح. | حقيقي |
| DependencyCheckEndExploitedEnabled | يحدد ما إذا كان يتم تمكين تحديث الضعف المعروف والمحلل. | حقيقي |
| Dependencheckeckendexploitedurl | تعيين عنوان URL إلى CISA المعروف الاستغلال الثغرات الاستغلال JSON تغذية. | https://www.cisa.gov/sites/default/files/feeds/monnel_exploited_vulnerabilities.json |
| REPENDENDECHECKENDEXPLOITEDVALIDFORHOURS | قم بتعيين الفاصل الزمني في ساعات حتى يتم إجراء التحقق التالي لـ CISA معروفة من نقاط الضعف المستغلة. | 24 |
| REPENDENDECHECKCENTRALANADENADENDATID | مجموعات ما إذا كان سيتم استخدام المحلل المركزي. إذا تم تعطيل هذا المحلل ، فهناك فرصة جيدة لأنك تريد أيضًا تعطيل محلل Nexus (انظر أدناه). | خطأ شنيع |
| DependenceCheckCentralAnalyzeruseCache | يحدد ما إذا كان التحليل المركزي سيخزين نتائج ذاكرة التخزين المؤقت. تنتهي النتائج المخزنة مؤقتًا بعد 30 يومًا. | حقيقي |
| DependencyCheckOssIndExanAdaleDenabled | يحدد ما إذا كان سيتم تمكين محلل فهرس OSS. | حقيقي |
| REPENDENDECHECKOSSINGANDEXANALYZERL | عنوان URL لخدمة فهرس Sonatype OSS. | https://ossindex.sonatype.org |
| REPENDENDECHECKOSSINGANDEXANALYZERUSECACHE | يحدد ما إذا كان محلل فهرس OSS سوف يخبئ نتائج. تنتهي النتائج المخبأة بعد 24 ساعة. | حقيقي |
| REPENDENDECHECKOSSINGANDEXANALYZERENMERAMERAME | اسم المستخدم الاختياري لاستخدامه في خدمة فهرس Sonatype OSS. ملاحظة: لا يلزم وجود حساب مع فهرس OSS. | |
| REPENDENDECHECKOSSINDEXANALYZERPASSWORD | كلمة المرور الاختيارية لاستخدامها في خدمة فهرس Sonatype OSS. | |
| REPENDENDECHECKOSSINDEXWARNONLYONREMOTEERRORS | يحدد ما إذا كانت الأخطاء عن بُعد من مؤشر OSS (مثل البوابة السيئة ، حيث تم تجاوز حد المعدل) ستؤدي إلى تحذيرات فقط بدلاً من فشل التنفيذ. | خطأ شنيع |
| DependencyCheckNexusAnalyzerenabled | يحدد ما إذا كان سيتم استخدام محلل Nexus. يتم حل محل المحلل من قبل المحلل المركزي. ومع ذلك ، يمكنك تكوين هذا لتشغيله مقابل تثبيت Nexus Pro. | خطأ شنيع |
| DependencyCheckNexusurl | يحدد نقطة نهاية خدمة الويب الخاصة بخادم Nexus (مثال http: //domain.enterprise/service/local/). إذا لم يتم تعيين محلل Nexus ، فسيتم تعطيله. | https://repository.sonatype.org/service/local/ |
| DependencyCheckNexususussy | ما إذا كان ينبغي استخدام الوكيل المحدد عند الاتصال بـ Nexus أم لا. | حقيقي |
| DependencyCheckNexusus | اسم المستخدم للمصادقة على نقطة نهاية خدمة الويب الخاصة بخادم Nexus. إذا لم يتم تعيين محلل Nexus ، فسيستخدم اتصال غير مصادق. | |
| DependencyCheckNexuspassword | كلمة المرور للمصادقة على نقطة نهاية خدمة الويب الخاصة بخادم Nexus. إذا لم يتم تعيين محلل Nexus ، فسيستخدم اتصال غير مصادق. | |
| DependencyCheckPyDistributionAnalyzerenabled | يحدد ما إذا كان سيتم استخدام محلل توزيع Python التجريبي . يجب ضبط dependencyCheckEnableExperimental على صحيح. | حقيقي |
| DependencyCheckPyPackeAnalyzerenabled | يحدد ما إذا كان سيتم استخدام محلل حزمة Python التجريبي . يجب ضبط dependencyCheckEnableExperimental على صحيح. | حقيقي |
| DependencyCheckRubygemSanAdyLzerenabled | يحدد ما إذا كان سيتم استخدام محلل Ruby Gemspec التجريبي . يجب ضبط dependencyCheckEnableExperimental على صحيح. | حقيقي |
| DependencyCheckopensslanAdlezenabled | يحدد ما إذا كان ينبغي استخدام محلل OpenSSL أم لا. يجب ضبط dependencyCheckEnableExperimental على صحيح. | حقيقي |
| DependencyCheckCmakeAnalyzerenabled | يحدد ما إذا كان ينبغي استخدام محلل CMAKE التجريبي أم لا. يجب ضبط dependencyCheckEnableExperimental على صحيح. | حقيقي |
| DependencyCheckautoconFanAderenabled | يحدد ما إذا كان ينبغي استخدام محلل AutoconF التجريبي أم لا. يجب ضبط dependencyCheckEnableExperimental على صحيح. | حقيقي |
| DependencheckmaveninStallAnalyzerenabled | يحدد ما إذا كان ينبغي استخدام محلل تثبيت Maven أم لا. | حقيقي |
| DependencyCheckPipAnalyzerenabled | يحدد ما إذا كان ينبغي استخدام محلل PIP التجريبي أم لا. يجب ضبط dependencyCheckEnableExperimental على صحيح. | حقيقي |
| DependencyCheckPipFileAnalyzerenabled | يحدد ما إذا كان ينبغي استخدام محلل pipfile التجريبي أم لا يجب استخدام dependencyCheckEnableExperimental على صحيح. | حقيقي |
| DependencyCheckPoetryAnalyzerAbdabled | يحدد ما إذا كان ينبغي استخدام محلل الشعر التجريبي أم لا ، يجب ضبط dependencyCheckEnableExperimental على صحيح. | حقيقي |
| DependencyCheckComposerAnalyzerenabled | يحدد ما إذا كان ينبغي استخدام محلل ملف قفل الملحن التجريبي PHP أم لا. يجب ضبط dependencyCheckEnableExperimental على صحيح. | حقيقي |
| DependencyCheckcpanfileAnalyzerenabled | يحدد ما إذا كان ينبغي استخدام محلل ملفات Perl CPAN التجريبي أم لا. يجب ضبط dependencyCheckEnableExperimental على صحيح. | حقيقي |
| DependencyCheckNodeanAderenabledabled | يحدد ما إذا كان ينبغي استخدام محلل Node.js المتقاعد أم لا. | خطأ شنيع |
| DependencheckNodePackagesKipDevDependencies | يحدد ما إذا كان محلل Node.js سيتخطى devdendencies. | خطأ شنيع |
| DependencyCheckNodeAuditAnalyzerenabled | يحدد ما إذا كان ينبغي استخدام محلل تدقيق العقدة أم لا. | حقيقي |
| DependencyCheckNodeAuditskipDevDependencies | يحدد ما إذا كان محلل تدقيق العقدة سيتخطى devdendencies. | خطأ شنيع |
| REPENDENDECHECKNODEAUDITANALYzerurl | يعين عنوان URL API لتدقيق العقدة لمحلل تدقيق العقدة. إذا لم يتم تعيينه يستخدم عنوان URL الافتراضي. | https://registry.npmjs.org/-/npm/v1/security/audits |
| REPENDENDECHECKNODEAUDITANALYZERUSECACHEACHE | يحدد ما إذا كان محلل تدقيق العقدة سيخزف نتائج. تنتهي النتائج المخبأة بعد 24 ساعة. | حقيقي |
| DependencyCheckNPMCpeanAlyzerenabled | يحدد ما إذا كان ينبغي استخدام محلل CPE التجريبي NPM. يجب ضبط dependencyCheckEnableExperimental على صحيح. | حقيقي |
| DependencyCheckyarnauditAnalyzerenabled | يحدد ما إذا كان ينبغي استخدام محلل تدقيق الغزل. يتطلب هذا المحلل خيوطًا واتصالًا بالإنترنت. استخدم dependencyCheckNodeAuditSkipDevDependencies لتخطي التبعيات DEV. | حقيقي |
| DependencyCheckPathtoyarn | يحدد المسار إلى الغزل القابل للتنفيذ. | |
| DependencyCheckpnpmauditAnalyzerenabled | يحدد ما إذا تم تمكين محلل تدقيق PNPM. يتطلب هذا المحلل PNPM واتصال الإنترنت. استخدم nodeAuditSkipDevDependencies لتخطي التبعيات dev. | حقيقي |
| DependencyCheckPathtopnpm | يحدد المسار إلى pnpm قابلة للتنفيذ. | |
| DependencyCheckNusPecanAdyNabledabled | يحدد ما إذا كان سيتم استخدام محلل .NET NUGET NUSPEC أم لا. | حقيقي |
| DependencyCheckNugetConfanAderenabled | يحدد ما إذا كان سيتم استخدام محلل .NET Nuget Packages.Config. يجب ضبط dependencyCheckEnableExperimental على صحيح. | خطأ شنيع |
| DependencyCheckCocoApodSenabled | يحدد ما إذا كان ينبغي استخدام محلل Cocoapods التجريبي أم لا. يجب ضبط dependencyCheckEnableExperimental على صحيح. | حقيقي |
| DependencyCheckMixAuditAnalyerAdabled | يحدد ما إذا كان ينبغي استخدام محلل تدقيق المزيج التجريبي أم لا. يجب ضبط dependencyCheckEnableExperimental على صحيح. | الثلاثاء |
| DependencyCheckMixAuditPath | يحدد المسار إلى mix_audit قابلة للتنفيذ ؛ يتم تمكين محلل التدقيق المزيج فقط إذا تم تمكين المحلل التجريبي. | |
| DependencyChecksWiftenabled | يحدد ما إذا كان ينبغي استخدام محلل مدير الحزم السريع التجريبي أم لا. يجب ضبط dependencyCheckEnableExperimental على صحيح. | حقيقي |
| DependencyCheckswiftPackageresolvedAnalyzerenabled | يحدد ما إذا كان ينبغي استخدام محلل حزمة SWIFT التجريبية أو لم يكن. يجب ضبط dependencyCheckEnableExperimental على صحيح. | حقيقي |
| DependencyCheckBundleAuditEnabled | يحدد ما إذا كان ينبغي استخدام محلل تدقيق حزمة Ruby التجريبي أم لا. يجب ضبط dependencyCheckEnableExperimental على صحيح. | حقيقي |
| DependencyCheckPathtObundleaudit | المسار إلى تدقيق حزمة روبي. | |
| DependencheckBundleAuditWorkingDirectory | يحدد المسار لدليل العمل الذي يجب تنفيذ مراجعة Ruby Bundle Binary من. | |
| DependencyCheckAssemblyAnalyzerAbdabled | يحدد ما إذا كان ينبغي استخدام محلل تجميع .NET أم لا. | حقيقي |
| DependencyCheckMsbuildAldAlzerenabled | يحدد ما إذا كان ينبغي استخدام محلل MSBuild. | حقيقي |
| DependencyCheckPathtOdotnetCore | المسار إلى .NET Core لتحليل تجميع .NET على أنظمة غير Windows. | |
| DependencyCheckPeanAlyzerenabled | يحدد ما إذا كان ينبغي استخدام محلل PE التجريبي الذي يقرأ رؤوس PE لملفات DLL و EXE. يجب ضبط dependencyCheckEnableExperimental على صحيح. | حقيقي |
| DependencyCheckRetireJsanAdyNabledabled | يحدد ما إذا كان ينبغي استخدام محلل RetireJS أم لا. | حقيقي |
| DependencyCheckRetirejsforceUpdate | يحدد ما إذا كان يجب تحديث محلل RetireJS بغض النظر عن إعداد "edependencycheckautoupdate´. | حقيقي |
| REPENDENDECHECKRETIREJSANALYZERREPOJSURL | اضبط عنوان URL على مستودع RetireJS. ملاحظة يجب أن يكون اسم الملف jsrepository.json | https://raw.githubusercontent.com/retirejs/retire.js/master/repository/jsrepository.json |
| REPENDENDECTCHECKRETIREJSANALYZERREPOUSER | اسم المستخدم للمصادقة للاتصال بـ RetireJS URL. | |
| DependencyCheckRetirejsanalyzerrepasword | كلمة مرور للمصادقة للاتصال بـ RetireJS URL. | |
| REPENDENDECTCHECKRETIREJSANALYZERREPOVALIDFOR | قم بتعيين الفاصل الزمني في ساعات حتى يتم إجراء فحص CVES التالي بواسطة محلل RetireJS | 24 |
| DependencyCheckRetirejsanalyzerfilters | تعيين مرشحات واحدة أو أكثر لمحلل RetireJS. | |
| REPENDENDECHECKRETIREJSANALYZERFILTERNONVULNERABLE | يحدد ما إذا كان يجب على محلل Retirejs تصفية التبعيات غير القابلة للتشويش أم لا | خطأ شنيع |
| DependencyCheckArtifactoryAnalyerAdabled | يحدد ما إذا كان سيتم استخدام محلل JFROG Artifactory أم لا | خطأ شنيع |
| DependencyCheckArtifactoryAnalyzerurl | عنوان URL الخادم القوي. | |
| DependencyCheckArtifactoryAnalyzeruseproxy | يحدد ما إذا كان ينبغي الوصول إلى القطع الأثرية من خلال وكيل أم لا. | خطأ شنيع |
| DependencyCheckArtifactoryAnalyzerparallanalysis | يحدد ما إذا كان ينبغي تشغيل المحلل الفني بالتوازي أم لا. | حقيقي |
| DependencyCheckArtifactoryAnalyzerUsername | اسم المستخدم (المستخدم فقط مع رمز API) للاتصال بالمثال القائم. | |
| DependencyCheckArtifactoryAnalyzerApitoken | رمز API للاتصال بالمثال الفني. ملاحظة: لا ينبغي إضافة هذه الإعدادات إلى ملف build.sbt المحلي والالتزام بمستودع التعليمات البرمجية لأسباب أمنية. يمكن إضافتها إلى ~/.sbt/<version>/global.sbt بدلاً من ذلك | |
| DependencyCheckArtifactoryAnalyzerbearerke | رمز حامل للاتصال بالمثال الفني. ملاحظة: لا ينبغي إضافة هذه الإعدادات إلى ملف build.sbt المحلي والالتزام بمستودع التعليمات البرمجية لأسباب أمنية. يمكن إضافتها إلى ~/.sbt/<version>/global.sbt بدلاً من ذلك | |
| DependencyCheckGolangDepenabled | يحدد ما إذا كان ينبغي استخدام محلل التبعية Golang التجريبي أم لا. يجب ضبط dependencyCheckEnableExperimental على صحيح. | حقيقي |
| DependencyCheckGolangModenabled | يحدد ما إذا كان ينبغي استخدام محلل وحدة Golang التجريبية أم لا. go تثبيت. يجب ضبط dependencyCheckEnableExperimental على صحيح. | حقيقي |
| DependencyCheckPathtogo | الطريق إلى وقت التشغيل "GO". |
يمكن تكوين الخصائص التالية في البرنامج المساعد. ومع ذلك ، يتم تغييرها بشكل متكرر. قد يكون أحد الاستثناءات هو خصائص Cvedurl ، والتي يمكن استخدامها لاستضافة مرآة NVD داخل بيئة المؤسسة.
| جلسة | وصف | القيمة الافتراضية |
|---|---|---|
| DependencyCheckCveurlModified | عنوان URL لتغذية بيانات CVE JSON المعدلة. عند عكس NVD ، يجب أن تعكس *.json.gz و *.meta ملفات. اختياري إذا كان dependencyCheckCveUrlBase مخصص هو مجرد تغيير اسم المجال. | https://nvd.nist.gov/feeds/json/cve/1.1/nvdcve-1.1-modified.json.gz |
| Dependencheckcveurlbase | عنوان URL الأساسي لـ CVE JSON Data Feed ، سيتم استبدال ٪ D بالسنة. | https://nvd.nist.gov/feeds/json/cve/1.1/nvdcve-1.1-٪d.json.gz |
| DependencyCheckcveuser | اسم المستخدم المستخدم عند الاتصال بـ dependencyCheckCveUrlBase . | |
| DependencyCheckCvePassword | كلمة المرور المستخدمة عند الاتصال بـ dependencyCheckCveUrlBase . | |
| DependencyCheckCveWaittime | الوقت بالمللي ثانية للانتظار بين التنزيلات من NVD. | 4000 |
| DependencyCheckCvestArtyear | السنة الأولى من بيانات NVD CVE للتنزيل من NVD. | 2002 |
| DependencyCheckConnectionTimeout | يعين مهلة اتصال عنوان URL (بالميلي ثانية) المستخدمة عند تنزيل البيانات الخارجية. | |
| DependencyCheckConnectionReadTimeout | يعين مهلة قراءة عنوان URL (بالميلي ثانية) المستخدمة عند تنزيل البيانات الخارجية. | |
| DependencyCheckDatadirectory | يعين دليل البيانات لعقد محتويات SQL CVES. هذا يجب أن لا يتغير بشكل عام. | [جرة] البيانات |
| DependencyCheckDatabasedRiverName | اسم برنامج قاعدة البيانات. مثال: org.h2.driver. | org.h2.driver |
| DependencyCheckDatabasedRiverPath | المسار إلى ملف جرة برنامج تشغيل قاعدة البيانات ؛ يستخدم فقط إذا لم يكن السائق في مسار الفصل. | |
| DependencyCheckConnectionString | سلسلة الاتصال المستخدمة للاتصال بقاعدة البيانات ، سيتم استبدال ٪ s باسم قاعدة البيانات | JDBC: H2: ملف: ٪ s ؛ autocommit = on ؛ mv_store = false ؛ |
| DependencyCheckDatabaseuser | يستخدم اسم المستخدم عند الاتصال بقاعدة البيانات. | dcuser |
| DependencyCheckDatabasePassword | كلمة المرور المستخدمة عند الاتصال بقاعدة البيانات. | |
| DependencyCheckHostedSupressInabled | ما إذا كان سيتم استخدام ملف القمع المستضاف. | حقيقي |
| DependencheckHostedSupressionsforceUpdate | ما إذا كان يتم تحديث ملف القامع المستضافة بغض النظر عن إعداد dependencyCheckAutoUpdate . | خطأ شنيع |
| DependencyCheckHostedSupressionSurl | عنوان URL لنسخة متطابقة من ملف القامات المستضافة للبيئات المقيدة بالإنترنت. | https://jeremylong.github.io/dependencycheck/suppressions/publishupressions.xml |
| DependencheckHostedSupressionsvalidforhours | يحدد عدد الساعات للانتظار قبل التحقق من التحديثات الجديدة من NVD. | 2 |
استخدم إما نطاق Global أو ThisBuild إذا كنت ترغب في تحديد إعداد لجميع المشاريع. حدد على مستوى المشروع إذا كنت ترغب في تختلف عن الإعداد الافتراضي أو العالمي/ThisBuild لمشروع معين.
build.sbt
Global / dependencyCheckFormats := Seq ( " HTML " , " JSON " )
lazy val root = (project in file( " . " ))
.aggregate(core)
.settings(
libraryDependencies += " com.github.t3hnar " %% " scala-bcrypt " % " 2.6 " % " test " ,
dependencyCheckSkipTestScope := false
)
lazy val util = (project in file( " util " ))
.settings(
libraryDependencies += " commons-beanutils " % " commons-beanutils " % " 1.9.1 "
)
lazy val core = project.dependsOn(util)
.settings(
libraryDependencies += " org.apache.commons " % " commons-collections4 " % " 4.1 " % " runtime " ,
dependencyCheckSkip := true
)
يتم تقييم جميع الإعدادات تقريبًا فقط للمشروع الذي تقوم بتنفيذ المهمة ، وليس لكل مشروع فرعي فرعي. الإعفاء المدعوم للعمل في مشاريع aggregate() و dependsOn() ، هي إعدادات تخطي النطاق:
dependencyCheckSkipdependencyCheckSkipTestScopedependencyCheckSkipRuntimeScopedependencyCheckSkipProvidedScopedependencyCheckSkipOptionalScopeيجب عليك تعيينها بشكل فردي لكل مشروع إذا لزم الأمر.
أضف ما يلي إلى ملف build.sbt لزيادة مستوى السجل من info الافتراضية إلى EG debug .
logLevel in dependencyCheck := Level.Debug
وإضافة -Dlog4j2.level=debug عند تشغيل الشيك:
sbt -Dlog4j2.level=debug dependencyCheck
استبدل dependencyCheck باسم المهمة الصحيح الذي تستخدمه لمشروعك.
إذا كنت ترغب في تطبيق بعض التكوين الافتراضي لجميع مشاريع SBT ، فيمكنك إضافتها كإعدادات عالمية:
أضف البرنامج المساعد إلى ~/.sbt/1.0/plugins/sbt-dependency-check.sbt
addSbtPlugin( " net.vonbuchholtz " % " sbt-dependency-check " % " 5.1.0 " ) أضف إعدادات على ~/.sbt/1.0/global.sbt باستخدام اسمها المؤهل بالكامل (بما في ذلك الحزمة وهيكل الكائن المتداخل). على سبيل المثال
net.vonbuchholtz.sbt.dependencycheck. DependencyCheckPlugin .autoImport.dependencyCheckFormat := " All "لمزيد من المعلومات حول الإعدادات العالمية والإضافات ، تحقق من وثائق SBT: https://www.scala-sbt.org/1.x/docs/global-settings.html
SBT و sbt-dependency-check تكريم كل من إعدادات وكيل HTTP و HTTPS القياسية لـ JVM.
sbt -Dhttp.proxyHost=proxy.example.com
-Dhttp.proxyPort=3218
-Dhttp.proxyUser=username
-Dhttp.proxyPassword=password
-DnoProxyHosts="localhost|http://www.google.com"
dependencyCheck
purgeDeletesDatabase Run Update PUBLIC.PROPERTIES t SET t."VALUE"= '<NEW_VERSION_NUMBER>' WHERE t.ID = 'version' تشغيل مهمة release واتبع التعليمات. تحقق من أن الإصدار وصل إلى Maven Central. يستغرق فهرسة ما يصل إلى ساعتين إضافيتين لفهرستها لـ https://search.maven.org.
حقوق الطبع والنشر (C) 2016-2022 ألكساندر بارون ضد بوخهولتز
مرخصة بموجب ترخيص Apache ، الإصدار 2.0 ("الترخيص") ؛ لا يجوز لك استخدام هذا الملف إلا في الامتثال للترخيص. يمكنك الحصول على نسخة من الترخيص على
https://www.apache.org/licenses/license-2.0
ما لم يكن مطلوبًا بموجب القانون المعمول به أو الموافقة على الكتابة ، يتم توزيع البرامج الموزعة بموجب الترخيص على أساس "كما هي" ، دون ضمانات أو شروط من أي نوع ، إما صريحة أو ضمنية. راجع ترخيص الأذونات والقيود التي تحكم اللغة المحددة بموجب الترخيص.
