sbt dependency check
v5.1.0
Mit dem SBT-Abhängigkeits-Check-Plugin können Projekte abhängige Bibliotheken für bekannte, veröffentlichte Schwachstellen (z. B. CVE) überwachen. Das Plugin erreicht dies durch die Verwendung der Awesome OWASP -Abhängigkeits -Check -Bibliothek, die bereits mehrere Integrationen mit anderen Build- und kontinuierlichen Integrationssystemen bietet. Weitere Informationen zur Funktionsweise von OWASP DependentyCheck und zum Lesen der Berichte finden Sie in der Dokumentation des Projekts.
SBT-Abhängigkeitsprüfung ist ein Autoplugin. Fügen Sie einfach das Plugin in die Datei project/plugins.sbt hinzu.
addSbtPlugin("net.vonbuchholtz" % "sbt-dependency-check" % "5.1.0")
Verwenden Sie SBT-Abhängigkeitskontrolle v2.0.0 oder höher, da frühere Versionen nicht mehr mit NVD-Feeds kompatibel sind. Beginnend mit SBT-Abhängigkeitsprüfung v3.0.0 SBT V0.13.x wird nicht mehr unterstützt.
| Aufgabe | Beschreibung | Befehl |
|---|---|---|
| Abhängigkeitscheck | Führen Sie die Abhängigkeitskontrolle gegen das aktuelle Projekt, seine Aggregate und Abhängigkeiten aus und generieren einen Bericht für jedes Projekt. | $ sbt dependencyCheck |
| AbhängigkeitCheckaggregate | Führen Sie die Abhängigkeitskontrolle gegen das aktuelle Projekt, seine Aggregate und Abhängigkeiten aus und generieren einen einzelnen Bericht im Ausgabeverzeichnis des aktuellen Projekts. | $ sbt dependencyCheckAggregate |
| AbhängigkeitCheckyProject | Führen Sie die Abhängigkeitskontrolle gegen alle Projekte, Aggregate und Abhängigkeiten aus und generiert einen einzelnen Bericht im Ausgabeverzeichnis des aktuellen Projekts. | $ sbt dependencyCheckAnyProject |
| AbhängigkeitCheckupdateonly | Aktualisiert den lokalen Cache der NVD -Daten von NIST. | $ sbt dependencyCheckUpdateOnly |
| Abhängigkeitscheckpurge | Löscht die lokale Kopie der NVD. Dies wird verwendet, um eine Aktualisierung der Daten zu erzwingen. | $ sbt dependencyCheckPurge |
| Abhängigkeitspunkte | Druckt alle Einstellungen und deren Werte für das Projekt. | $ sbt dependencyCheckListSettings |
Die Berichte werden an den Standardstandort crossTarget.value geschrieben. Dies kann überschrieben werden, indem dependencyCheckOutputDirectory eingestellt werden. Weitere Informationen finden Sie in der Konfiguration.
HINWEIS: Der erste Lauf kann eine Weile dauern, da die von NIST gehosteten Daten aus der nationalen Schwachstellendatenbank (NVD): https://nvd.nist.gov in die Datenbank heruntergeladen und importiert werden muss. Spätere Läufe werden nur Änderungssätze herunterladen, es sei denn, das letzte Update war vor mehr als 7 Tagen. Es wird empfohlen, einen Spiegel des NVD -Feeds in Ihrem lokalen Netzwerk einzurichten, um das Risiko einer Ratenbeschränkung zu verringern. Anweisungen finden Sie unter https://github.com/stevespringett/nist-data-mirror.
sbt-dependency-check verwendet die Standardkonfiguration von OWASP Dependentcheck. Sie können sie in Ihren build.sbt -Dateien überschreiben. Verwenden Sie die dependencyCheckListSettings , um alle verfügbaren Einstellungen und deren Werte für die SBT -Konsole zu drucken.
| Einstellung | Beschreibung | Standardwert |
|---|---|---|
| Abhängigkeitscheckautoupdate | Legt fest, ob die automatischen Aufentdition der Daten von NVD CVE/CPE, RentireJs und gehosteten Unterdrückungsdaten aktiviert sind. Es wird nicht empfohlen, dies in Falsch zugewandt zu werden. | WAHR |
| Abhängigkeitscheckcvevalidforhours | Legt die Anzahl der Stunden fest, um zu warten, bevor Sie nach neuen Updates von der NVD suchen. | 4 |
| Abhängigkeitscheckfailbuildoncvss | Gibt an, ob der Build fehlschlägt werden sollte, wenn ein CVSS -Wert oben oder gleich ein bestimmtes Pegel identifiziert wird. Der Standardwert ist 11, was bedeutet, dass die CVSS-Bewertungen 0-10 sind. Standardmäßig wird der Build nie fehlschlagen. Weitere Informationen zu CVSS -Ergebnissen finden Sie in der NVD | 11.0 |
| Abhängigkeitscheckjunitfailbuildoncvss | Wenn das Format des JUNIT -Berichts verwendet wird, legt der AbhängigkeitspunktCheckjunitfailonCVSS den CVSS -Score -Schwellenwert fest, der als Fehler angesehen wird. Der Standardwert beträgt 0 - alle Schwachstellen werden als Fehler angesehen. | 0 |
| Abhängigkeitscheckformat | Das zu erzeugende Berichtsformat (HTML, XML, Junit, CSV, JSON, Sarif, Jenkins, alle). Diese Einstellung wird ignoriert, wenn die AbhängigkeitscheckReportformats festgelegt sind. | Html |
| Abhängigkeitspunkte | Eine Folge von Berichtsformaten (HTML, XML, JUNIT, CSV, JSON, Sarif, Jenkins, All). | |
| Abhängigkeitscheckungsput -Verzeichnis | Der Ort zum Schreiben der Bericht (en). | crossTarget.value eg ./target/scala-2.11 |
| AbhängigkeitCheckset | Eine optionale Abfolge von Dateien, die zusätzliche Dateien und/oder Verzeichnisse angeben, die als Teil des Scans analysiert werden sollen. Wenn nicht angegeben, sind Standards zu Standard -Scala -Konventionen (siehe Einzelheiten siehe SBT -Dokumentation). | /src/main/resources |
| AbhängigkeitCheckskip | Überspringt die Abhängigkeitskontrollanalyse | FALSCH |
| AbhängigkeitCHECKKSKIPTESTSCOPE | Überspringt die Analyse für Artefakte mit Testumfang | WAHR |
| AbhängigkeitCheckskipruntimesCope | Überschneidet die Analyse für Artefakte mit Laufzeitumfang | FALSCH |
| AbhängigkeitScharsKiprovidedScope | Überschneidet die Analyse für Artefakte mit bereitgestelltem Umfang | FALSCH |
| AbhängigkeitCHECKSKIPOPTIONALSCOPE | Überspringt die Analyse für Artefakte mit optionalem Umfang | FALSCH |
| Abhängigkeitsklammern | Die Abfolge der Dateipfade zu den XML -Unterdrückungsdateien - zur Unterdrückung falscher Positives. Siehe Unterdrückung Fehlalarme für die Dateisyntax. | |
| AbhängigkeitCheckCpestartswith | Die Startzeichenfolge, um die CPEs zu identifizieren, die für die Importierung qualifiziert sind. | |
| Abhängigkeitspunkte | Der Dateipfad zur XML -Hinweisdatei - verwendet, um falsche Negative zu beheben. | |
| AbhängigkeitCheckussesBtmoduleidasgav | Verwenden Sie das SBT -Moduleid als GAV -Kennung. Sicherstellt, dass Gav auch dann verfügbar ist, wenn Maven Central nicht der Fall ist. | FALSCH |
| AbhängigkeitCheckanalysistimeout | Stellen Sie das Analyse -Zeitübergang in Minuten ein | 20 |
| AbhängigkeitCheckenableExperimental | Aktivieren Sie die experimentellen Analysatoren. Wenn nicht aktiviert, werden die experimentellen Analysatoren (siehe unten) nicht geladen oder verwendet. | FALSCH |
| AbhängigkeitCHECKENABLERETIRED | Aktivieren Sie die pensionierten Analysatoren. Wenn nicht aktiviert, werden die pensionierten Analysatoren nicht geladen oder verwendet. | FALSCH |
Die folgenden Eigenschaften werden verwendet, um die verschiedenen Dateitypanalysatoren zu konfigurieren. Diese Eigenschaften können verwendet werden, um bestimmte Analysatoren auszuschalten, wenn sie nicht benötigt werden. Beachten Sie, dass bestimmte Analysatoren sich automatisch selbst deaktivieren, wenn keine von ihnen unterstützten Dateitypen erkannt werden - daher ist es möglicherweise nicht erforderlich, sie zu deaktivieren. Weitere Informationen zu den einzelnen Analysatoren finden Sie in der Dokumentation der Abhängigkeitsprüfung Analyzer.
| Einstellung | Beschreibung | Standardwert |
|---|---|---|
| abhängigcheckarchiveanalyzeren | Legt fest, ob der Archivanalysator verwendet wird. | WAHR |
| Abhängigkeitspunkte | Eine von Kommas getrennte Liste zusätzlicher Dateierweiterungen, die wie eine ZIP-Datei behandelt werden sollen, wird der Inhalt extrahiert und analysiert. | |
| AbhängigkeitCheckjaranalyzeraabled | Legt fest, ob der JAR -Analysator verwendet wird. | WAHR |
| AbhängigkeitCheckdartanalyzeren angemacht | Legt fest, ob der experimentelle Dart -Analysator aktiviert ist. dependencyCheckEnableExperimental müssen auf True eingestellt werden. | WAHR |
| AbhängigkeitCHECKECKNEXPLODEDEENDED | Legt fest, ob das bekannte Update für genutzte Verwundbarkeit und der Analysator aktiviert sind. | WAHR |
| AbhängigkeitCheckKNONSEXPLOITEDURL | Legt URL auf die von CISA bekannte ausgebeutete Schwachstellen JSON Data Feed fest. | https://www.cisa.gov/sites/default/Files/feeds/NONTE_EXPLOITED_VULNERABILABILITIONS.JSON |
| AbhängigkeitCheck -BekanntenExploitedValidforhours | Stellen Sie das Intervall in Stunden ein, bis die nächste Scheck für CISA bekannt ist. | 24 |
| AbhängigkeitscheckCentralanalyzeren | Legt fest, ob der zentrale Analysator verwendet wird. Wenn dieser Analysator deaktiviert wird, besteht eine gute Chance, dass Sie auch den Nexus -Analysator deaktivieren möchten (siehe unten). | FALSCH |
| Abhängigkeitscheckcentralanalyzerusecache | Legt fest, ob der zentrale Analyton die Ergebnisse zwischenspeichert. Zwischengespeicherte Ergebnisse verfallen nach 30 Tagen. | WAHR |
| AbhängigkeitCheckosSindexanalyzerened | Legt fest, ob der OSS -Indexanalysator aktiviert ist. | WAHR |
| AbhängigkeitCheckossidexanalyzerurl | URL des Sonatyps OSS Index Service. | https://ossidex.sonatype.org |
| AbhängigkeitCheckossidexanalyzerusecache | Legt fest, ob der OSS -Indexanalysator die Ergebnisse zwischenspeichert. Zwischengespeicherte Ergebnisse verfallen nach 24 Stunden. | WAHR |
| Abhängigkeitscheckssinalyzerusername | Der optionale Benutzername für den Sonatype OSS Index Service. Hinweis: Ein Konto mit OSS -Index ist nicht erforderlich. | |
| Abhängigkeitspassungsword | Das optionale Passwort für den Sonatype OSS Indexdienst. | |
| AbhängigkeitscheckssindexwarnonlyonremoteErrors | Legt fest, ob Remote -Fehler aus dem OSS -Index (z. B. schlechtes Gateway, Ratenlimit überschritten) nur zu Warnungen führen, anstatt die Ausführung zu fehlenden. | FALSCH |
| Abhängigkeitschecknexusanalyzer | Legt fest, ob Nexus Analyzer verwendet wird. Dieser Analysator wird vom zentralen Analysator ersetzt. Sie können dies jedoch so konfigurieren, dass sie mit einer Nexus Pro -Installation ausgeführt werden. | FALSCH |
| Abhängigkeitschecknexusurl | Definiert den Web -Service -Endpunkt des Nexus -Servers (Beispiel http: //domain.enterprise/service/local/). Wenn nicht festgelegt wird, wird der Nexus -Analysator deaktiviert. | https://repository.sonatype.org/service/local/ |
| Abhängigkeitschecknexususesproxy | Ob der definierte Proxy bei der Verbindung mit Nexus verwendet werden sollte oder nicht. | WAHR |
| Abhängigkeitschecknexususer | Der Benutzername, der sich mit dem Web -Service -Endpunkt des Nexus -Servers authentifizieren kann. Wenn nicht festgelegt, verwendet der Nexus -Analysator eine nicht authentifizierte Verbindung. | |
| Abhängigkeitspassword | Das Kennwort zum Authentifizieren mit dem Web -Service -Endpunkt des Nexus -Servers. Wenn nicht festgelegt, verwendet der Nexus -Analysator eine nicht authentifizierte Verbindung. | |
| AbhängigkeitscheckpyDiTributionAnalyzerenabsatz | Legt fest, ob der experimentelle Python -Verteilungsanalysator verwendet wird. dependencyCheckEnableExperimental müssen auf True eingestellt werden. | WAHR |
| abhängigCheckpyPackageanalyzerenabbetrieben | Legt fest, ob der experimentelle Python -Paketanalysator verwendet wird. dependencyCheckEnableExperimental müssen auf True eingestellt werden. | WAHR |
| AbhängigkeitscheckRubygeSanalyzerenenfabiert | Legt fest, ob der experimentelle Ruby Gemspec Analyzer verwendet wird. dependencyCheckEnableExperimental müssen auf True eingestellt werden. | WAHR |
| Abhängigkeitscheckslanalyzeren | Legt fest, ob der OpenSSL -Analysator verwendet werden soll oder nicht. dependencyCheckEnableExperimental müssen auf True eingestellt werden. | WAHR |
| AbhängigkeitCHECKCMAKEANALAKERECERED | Setzt, ob der experimentelle CMake -Analysator verwendet werden sollte oder nicht. dependencyCheckEnableExperimental müssen auf True eingestellt werden. | WAHR |
| Abhängigkeitscheckautokonfanalyzer | Legt fest, ob der experimentelle Autoconf -Analysator verwendet werden sollte oder nicht. dependencyCheckEnableExperimental müssen auf True eingestellt werden. | WAHR |
| Abhängigkeitscheckmaveninstallanalyzer | Legt fest, ob der Maven -Installationsanalysator verwendet werden soll oder nicht. | WAHR |
| AbhängigkeitscheckPipanalyzeren | Setzt, ob der experimentelle PIP -Analysator verwendet werden sollte oder nicht. dependencyCheckEnableExperimental müssen auf True eingestellt werden. | WAHR |
| AbhängigkeitCHECKPIPFILEANALALECEREDERED | Legt fest, ob der experimentelle PipFile -Analysator verwendet werden sollte oder nicht dependencyCheckEnableExperimental auf true. | WAHR |
| AbhängigkeitscheckPoetryAnalyzerenenabgeschlossen | Legt fest, ob der experimentelle Poesie -Analysator verwendet werden sollte oder nicht, dependencyCheckEnableExperimental auf TRUE eingestellt werden muss. | WAHR |
| abhängigConccomposeranalyzerenenfabiert | Legt fest, ob der experimentelle PHP -Komponisten -Lock -Dateianalysator verwendet werden sollte oder nicht. dependencyCheckEnableExperimental müssen auf True eingestellt werden. | WAHR |
| AbhängigkeitCheckcpanFileanalyzerenenfabiert | Legt fest, ob der experimentelle Perl -CPAN -Dateianalysator verwendet werden sollte oder nicht. dependencyCheckEnableExperimental müssen auf True eingestellt werden. | WAHR |
| AbhängigkeitChecknodeanalyzera | Legt fest, ob der pensionierte Node.js -Analysator verwendet werden sollte oder nicht. | FALSCH |
| AbhängigkeitspunkteChecknodePackageskipDevDependenzen | Legt fest, ob der Analysator von Node.js DevDependenzen überspringt. | FALSCH |
| Abhängigkeitschecknodeauditanalyzer | Legt fest, ob der Knoten -Audit -Analysator verwendet werden soll oder nicht. | WAHR |
| AbhängigkeitschecknodeAditskipdevDependenzen | Legt fest, ob der Knoten -Audit -Analysator DevDependenzen überspringt. | FALSCH |
| Abhängigkeitschecknodeauditanalyzerurl | Legt die URL der Knoten -Audit -API für den Knoten -Audit -Analysator fest. Wenn nicht festgelegt, verwendet die Standard -URL. | https://registry.npmjs.org/-/npm/v1/security/audits |
| Abhängigkeitschecknodeauditanalyzerusecache | Legt fest, ob der Knoten -Audit -Analysator die Ergebnisse zwischenspeichert. Zwischengespeicherte Ergebnisse verfallen nach 24 Stunden. | WAHR |
| AbhängigkeitschecknpmcPeanalyzerenabgemäbt | Legt fest, ob der experimentelle NPM -CPE -Analysator verwendet werden soll. dependencyCheckEnableExperimental müssen auf True eingestellt werden. | WAHR |
| AbhängigkeitCheckyarnauditanalyzerenabsatz | Legt fest, ob der Garn -Audit -Analysator verwendet werden soll. Dieser Analysator benötigt Garn und eine Internetverbindung. Verwenden Sie dependencyCheckNodeAuditSkipDevDependencies um Dev -Abhängigkeiten zu überspringen. | WAHR |
| Abhängigkeit Checkpathtoyarn | Legt den Pfad zum ausführbaren Garn fest. | |
| Abhängigkeitscheckpnpmauditanalyzerenabgeschlossen | Legt fest, ob der PNPM -Audit -Analysator aktiviert ist. Dieser Analysator benötigt PNPM und eine Internetverbindung. Verwenden Sie nodeAuditSkipDevDependencies , um Dev -Abhängigkeiten zu überspringen. | WAHR |
| AbhängigkeitspatheTopnpm | Legt den Pfad zur ausführbaren pnpm fest. | |
| Abhängigkeitschecknuspekanalysatorisch | Legt fest, ob der .NET -Nuget -Nuspec -Analysator verwendet wird oder nicht. | WAHR |
| AbhängigkeitspunkteCongetConfanalyzerenenfabiert | Legt fest, ob der experimentelle .NET -Nuget -Paket.Config Analyzer verwendet wird. dependencyCheckEnableExperimental müssen auf True eingestellt werden. | FALSCH |
| AbhängigkeitCHECCOCOAPODSENABED | Setzt, ob der experimentelle Cocoapods -Analysator verwendet werden sollte oder nicht. dependencyCheckEnableExperimental müssen auf True eingestellt werden. | WAHR |
| Abhängigkeitscheckmixauditanalyzer | Legt fest, ob der experimentelle Mix -Audit -Analysator verwendet werden sollte oder nicht. dependencyCheckEnableExperimental müssen auf True eingestellt werden. | Di |
| AbhängigkeitCheckmixauditPath | Legt den Pfad zum ausführbaren Mix_audit fest; Nur verwendet, wenn der Mix -Audit -Analysator aktiviert ist und experimentelle Analysatoren aktiviert sind. | |
| Abhängigkeitsumschlägewiftenabled | Legt fest, ob der experimentelle Swift -Paket -Manager -Analysator verwendet werden sollte oder nicht. dependencyCheckEnableExperimental müssen auf True eingestellt werden. | WAHR |
| abhängigCheckswiftpackageresolvedanalyzerenabbetrieben | Legt fest, ob das experimentelle Swift -Paket verwendet werden soll oder nicht. dependencyCheckEnableExperimental müssen auf True eingestellt werden. | WAHR |
| AbhängigkeitCheckbundleAudInabled | Legt fest, ob der experimentelle Ruby -Bündel -Audit -Analysator verwendet werden soll. dependencyCheckEnableExperimental müssen auf True eingestellt werden. | WAHR |
| AbhängigkeitCheckPathToBundleaudit | Der Weg zu Ruby Bundle Audit. | |
| AbhängigkeitscheckbundleauditWorkingDirectory | Legt den Pfad für das Arbeitsverzeichnis fest, aus dem das Ruby -Bundle -Audit -Binärdatum ausgeführt werden sollte. | |
| AbhängigkeitschecksemblyAnalyzeren angeschlossen | Legt fest, ob der Analysator für .NET -Assembly verwendet werden soll oder nicht. | WAHR |
| AbhängigkeitscheckmsBuildanalyzerenabbetrieben | Legt fest, ob der MSBUILD -Analysator verwendet werden soll. | WAHR |
| AbhängigkeitspatheTodotNetCore | Der Pfad zum .NET-Kern für die .NET-Assembly-Analyse auf Nicht-Windows-Systemen. | |
| AbhängigkeitscheckPeanAnalyzera | Legt fest, ob der experimentelle PE -Analysator, der die PE -Header von DLL- und EXE -Dateien liest, verwendet werden soll. dependencyCheckEnableExperimental müssen auf True eingestellt werden. | WAHR |
| AbhängigkeitCHECKRETIREJSANALALALECERED | Legt fest, ob der RentireJS -Analysator verwendet werden soll oder nicht. | WAHR |
| Abhängigkeitscheckretirejsforceupdate | Legt fest, ob der RentireJS -Analysator unabhängig von der Einstellung "Abhängigkeit" aktualisieren sollte. | WAHR |
| AbhängigkeitCHECKRETIREJSANALAZEERREPOJSURL | Stellen Sie die URL auf das RentireJS -Repository ein. Beachten Sie, dass der Dateiname jsrepository.json sein muss | https://raw.githubuSercontent.com/retirejs/retire.js/master/repository/jsrepository.json |
| Abhängigkeitscheckretirejsanalyzerrepouser | Benutzername für die Authentifizierung zur Verbindung zu RetireJS -URL. | |
| AbhängigkeitCHECKRETIREJSANALAZEERREPOPASSWORD | Kennwort für die Authentifizierung zur Verbindung zu RentireJS -URL. | |
| Abhängigkeitscheckretirejsanalyzerrepovalidfor | Stellen Sie das Intervall in Stunden ein | 24 |
| Abhängigkeitscheckretirejsanalyzerfilter | Stellen Sie einen oder mehrere Filter für den RentireJS -Analysator ein. | |
| AbhängigkeitCHECKRETIREJSANALALECERFILTERNONVULSONABLE | Legt fest | FALSCH |
| AbhängigkeitCheckartifactoryAnalyzeraDabled | Legt fest, ob der Jfrog -Artefaktoranalysator verwendet wird | FALSCH |
| AbhängigkeitCheckartifactoryAnalyzerurl | Die artifaktorische Server -URL. | |
| AbhängigkeitCheckartifactoryAnalyzeruseProxy | Legt fest, ob Artefaktor über einen Proxy zugegriffen werden sollte oder nicht. | FALSCH |
| AbhängigkeitCheckartifactoryAnalyzerparallelanalyse | Legt fest, ob der artifaktorische Analysator parallel ausgeführt werden soll oder nicht. | WAHR |
| AbhängigkeitscheckartifactoryAnalyzerusername | Der Benutzername (nur mit API -Token verwendet) zur Verbindung zu artifaktorischer Instanz. | |
| AbhängigkeitCheckartifactoryAnalyzerapitoken | Das API -Token, um eine Verbindung zur Artefaktorin zu verbinden. HINWEIS: Diese Einstellungen sollten nicht in Ihre lokale build.sbt -Datei hinzugefügt und aus Sicherheitsgründen in Ihr Code -Repository angewendet werden. Sie können stattdessen zu ~/.sbt/<version>/global.sbt hinzugefügt werden | |
| AbhängigkeitCheckartifactoryAnalyzerBeererToken | Der Träger -Token, um sich mit einer Artefaktorin zu verbinden. HINWEIS: Diese Einstellungen sollten nicht in Ihre lokale build.sbt -Datei hinzugefügt und aus Sicherheitsgründen in Ihr Code -Repository angewendet werden. Sie können stattdessen zu ~/.sbt/<version>/global.sbt hinzugefügt werden | |
| Abhängigkeitscheckgolangdepenabled | Legt fest, ob der experimentelle Golang -Abhängigkeitsanalysator verwendet werden sollte oder nicht. dependencyCheckEnableExperimental müssen auf True eingestellt werden. | WAHR |
| AbhängigkeitCheckgolangmodenabled | Legt fest, ob der experimentelle Golang -Modulanalysator verwendet werden sollte oder nicht. Erfordert, dass er installiert werden go . dependencyCheckEnableExperimental müssen auf True eingestellt werden. | WAHR |
| AbhängigkeitscheckPathtogo | Der Weg zur Laufzeit "Go". |
Die folgenden Eigenschaften können im Plugin konfiguriert werden. Sie werden jedoch seltener verändert. Eine Ausnahme kann die CVedurl -Eigenschaften sein, mit denen ein Spiegel der NVD in einer Unternehmensumgebung veranstaltet werden kann.
| Einstellung | Beschreibung | Standardwert |
|---|---|---|
| AbhängigkeitCHECKCVEURLMODIFIED | URL für den modifizierten CVE JSON -Datenfeed. Wenn Sie die NVD spiegeln, müssen Sie die Dateien *.json.gz und die *.meta -Dateien spiegeln. Optional, wenn Ihre benutzerdefinierte dependencyCheckCveUrlBase nur eine Domänennamenänderung ist. | https://nvd.nist.gov/feeds/json/cve/1.1/nvdcve-1.1-modified.json.gz |
| Abhängigkeitscheckcveurlbase | Basis -URL Für das Jeda CVE JSON -Datenfeed in CVE JSON wird der %D durch das Jahr ersetzt. | https://nvd.nist.gov/feeds/json/cve/1.1/nvdcve-1.1-%D.json.gz |
| Abhängigkeitscheckcveuser | Der Benutzername wird verwendet, wenn sie eine Verbindung zur dependencyCheckCveUrlBase herstellen. | |
| Abhängigkeitspassword | Das Kennwort, das bei der Verbindung mit der dependencyCheckCveUrlBase verwendet wird. | |
| AbhängigkeitCHECKCVEWAITTIME | Die Zeit in Millisekunden, um zwischen Downloads der NVD zu warten. | 4000 |
| AbhängigkeitCheckcVestartyear | Das erste Jahr der NVD CVE -Daten zum Herunterladen von der NVD. | 2002 |
| AbhängigkeitConConnectionTimeout | Legt das Timeout von URL -Verbindungen (in Millisekunden) fest, das beim Herunterladen externer Daten verwendet wird. | |
| AbhängigkeitscheckConnectionReadTimeout | Legt das beim Herunterladen externer Daten verwendetes Timeout (in Millisekunden) fest. | |
| AbhängigkeitCheckDatadirectory | Legt das Datenverzeichnis fest, um den SQL CVVE -Inhalt zu halten. Dies sollte im Allgemeinen nicht geändert werden. | [Jar] data |
| AbhängigkeitCheckDatabasedRivername | Der Name des Datenbanktreibers. Beispiel: org.h2.driver. | org.h2.driver |
| AbhängigkeitCHECKDATABASEDRIVERPATH | Der Pfad zum Datenbank -Treiber -JAR -Datei; Nur verwendet, wenn sich der Fahrer nicht im Klassenpfad befindet. | |
| AbhängigkeitscheckConnectionString | Die Verbindungszeichenfolge, mit der eine Verbindung zur Datenbank hergestellt wurde, wird der %s durch einen Namen für die Datenbank ersetzt | JDBC: H2: Datei:%s; autocommit = on; mv_store = false; |
| AbhängigkeitCheckDatabasUser | Der Benutzername wird verwendet, um eine Verbindung zur Datenbank herzustellen. | DCUSER |
| AbhängigkeitsCheckDatabasepassword | Das Kennwort, das bei der Verbindung mit der Datenbank verwendet wird. | |
| abhängigcheckhostedSuppressionSabled | Ob die gehostete Unterdrückungsdatei verwendet wird. | WAHR |
| AbhängigkeitCheckhostedSuppressionsforceupdate | Ob die gehostete Unterdrückungsdatei unabhängig von der Einstellung dependencyCheckAutoUpdate aktualisiert wird. | FALSCH |
| AbhängigkeitscheckhostedSuppressionSurl | Die URL zu einer gespiegelten Kopie der gehosteten Unterdrückungsdatei für internetbeschränkte Umgebungen. | https://jeremylong.github.io/dependencyCheck/supprions/publishedSuppression.xml |
| AbhängigkeitscheckhostedSuppressionsValidforhours | Legt die Anzahl der Stunden fest, um zu warten, bevor Sie nach neuen Updates von der NVD suchen. | 2 |
Verwenden Sie entweder Global oder ThisBuild -Umfang, wenn Sie eine Einstellung für alle Projekte definieren möchten. Definieren Sie auf der Projektebene, wenn Sie von der Standard- oder Global/Thisbuild -Einstellung für ein bestimmtes Projekt abweichen möchten.
Build.sbt
Global / dependencyCheckFormats := Seq ( " HTML " , " JSON " )
lazy val root = (project in file( " . " ))
.aggregate(core)
.settings(
libraryDependencies += " com.github.t3hnar " %% " scala-bcrypt " % " 2.6 " % " test " ,
dependencyCheckSkipTestScope := false
)
lazy val util = (project in file( " util " ))
.settings(
libraryDependencies += " commons-beanutils " % " commons-beanutils " % " 1.9.1 "
)
lazy val core = project.dependsOn(util)
.settings(
libraryDependencies += " org.apache.commons " % " commons-collections4 " % " 4.1 " % " runtime " ,
dependencyCheckSkip := true
)
Fast alle Einstellungen werden nur für das Projekt ausgewertet, für das Sie die Aufgabe ausführen, nicht für jedes einzelne Unterprojekt. Die Befreiung, die für die Arbeit für aggregate() und Depelson () () () und dependsOn() -Projekte unterstützt werden, sind die Einstellungen für das Überspringen von Umfangsausfällen:
dependencyCheckSkipdependencyCheckSkipTestScopedependencyCheckSkipRuntimeScopedependencyCheckSkipProvidedScopedependencyCheckSkipOptionalScopeSie sollten diese bei Bedarf einzeln für jedes Projekt festlegen.
Fügen Sie Folgendes in Ihre build.sbt -Datei hinzu, um die Protokollebene von info auf z. B. debug zu erhöhen.
logLevel in dependencyCheck := Level.Debug
und fügen Sie -Dlog4j2.level=debug , wenn Sie einen Scheck ausführen:
sbt -Dlog4j2.level=debug dependencyCheck
Ersetzen Sie dependencyCheck durch den richtigen Aufgabenamen, den Sie für Ihr Projekt verwenden.
Wenn Sie eine Standardkonfiguration für alle Ihre SBT -Projekte anwenden möchten, können Sie sie als globale Einstellungen hinzufügen:
Fügen Sie das Plugin zu ~/.sbt/1.0/plugins/sbt-dependency-check.sbt
addSbtPlugin( " net.vonbuchholtz " % " sbt-dependency-check " % " 5.1.0 " ) Fügen Sie Einstellungen bei ~/.sbt/1.0/global.sbt mit ihrem voll qualifizierten Namen (einschließlich Paket und verschachtelter Objektstruktur) hinzu. Z.B
net.vonbuchholtz.sbt.dependencycheck. DependencyCheckPlugin .autoImport.dependencyCheckFormat := " All "Weitere Informationen zu globalen Einstellungen und Plugins finden Sie in der SBT-Dokumentation: https://www.scala-sbt.org/1.x/docs/global-settings.html
SBT- und sbt-dependency-check ehren beide die Standardeinstellungen HTTP und HTTPS-Proxy für die JVM.
sbt -Dhttp.proxyHost=proxy.example.com
-Dhttp.proxyPort=3218
-Dhttp.proxyUser=username
-Dhttp.proxyPassword=password
-DnoProxyHosts="localhost|http://www.google.com"
dependencyCheck
purgeDeletesDatabase Rennen Sie Abfrage Update PUBLIC.PROPERTIES t SET t."VALUE"= '<NEW_VERSION_NUMBER>' WHERE t.ID = 'version' Führen Sie release -Aufgabe aus und befolgen Sie die Anweisungen. Überprüfen Sie, ob die Veröffentlichung Maven Central erreicht hat. Es dauert bis zu zwei weitere Stunden, um für https://search.maven.org indiziert zu werden.
Copyright (C) 2016-2022 Alexander Baron gegen Buchholtz
Lizenziert unter der Apache -Lizenz, Version 2.0 (der "Lizenz"); Sie dürfen diese Datei nur in Übereinstimmung mit der Lizenz verwenden. Sie können eine Kopie der Lizenz bei erhalten
https://www.apache.org/licenses/license-2.0
Sofern nicht nach geltendem Recht oder schriftlich zu vereinbart wird, wird die im Rahmen der Lizenz verteilte Software auf "As is" -Basis ohne Gewährleistung oder Bedingungen jeglicher Art ausdrücklich oder impliziert verteilt. Siehe die Lizenz für die spezifischen Sprachberechtigungen und Einschränkungen im Rahmen der Lizenz.
