sbt dependency check
v5.1.0
El complemento SBT-Dependency-Check permite a los proyectos monitorear bibliotecas dependientes para las vulnerabilidades publicadas (por ejemplo). El complemento logra esto utilizando la impresionante biblioteca OWASP DependencyCheck que ya ofrece varias integraciones con otros sistemas de construcción e integración continua. Para obtener más información sobre cómo funciona OWASP DependencyCheck y cómo leer los informes, verifique la documentación del proyecto.
SBT-Dependency-Check es un piloto automático. Simplemente agregue el complemento al archivo project/plugins.sbt .
addSbtPlugin("net.vonbuchholtz" % "sbt-dependency-check" % "5.1.0")
Use SBT-Dependency-Check v2.0.0 o superior ya que las versiones anteriores ya no son compatibles con los alimentos NVD. Comenzando con SBT-Dependency-Check v3.0.0 SBT V0.13.x ya no es compatible.
| Tarea | Descripción | Dominio |
|---|---|---|
| depender de la dependencia | Se ejecuta la dependencia del proyecto actual, sus agregados y dependencias y genera un informe para cada proyecto. | $ sbt dependencyCheck |
| dependency checkaggregate | Ejecuta la verificación de la dependencia contra el proyecto actual, sus agregados y dependencias y genera un solo informe en el directorio de salida del proyecto actual. | $ sbt dependencyCheckAggregate |
| dependencia checkanyproject | Ejecuta la verificación de la dependencia en todos los proyectos, agregados y dependencias y genera un solo informe en el directorio de salida del proyecto actual. | $ sbt dependencyCheckAnyProject |
| dependencia checkupdateonly | Actualiza el caché local de los datos NVD de NIST. | $ sbt dependencyCheckUpdateOnly |
| dependencia checkpurge | Elimina la copia local del NVD. Esto se usa para forzar una actualización de los datos. | $ sbt dependencyCheckPurge |
| dependencia de cheques | Imprime todas las configuraciones y sus valores para el proyecto. | $ sbt dependencyCheckListSettings |
Los informes se escribirán en la ubicación predeterminada crossTarget.value . Esto se puede sobrescribir estableciendo dependencyCheckOutputDirectory . Consulte la configuración para más detalles.
Nota: La primera ejecución puede tomar un tiempo, ya que los datos completos de la Base de datos de Vulnerabilidad Nacional (NVD) alojadas por NIST: https://nvd.nist.gov deben descargarse e importarse a la base de datos. Las ejecuciones posteriores solo descargarán conjuntos de cambios a menos que la última actualización fuera hace más de 7 días. Se recomienda establecer un espejo de la alimentación NVD en su red local para reducir el riesgo de limitar la tasa. Consulte https://github.com/stevespringett/nist-data-mirror para obtener instrucciones.
sbt-dependency-check utiliza la configuración predeterminada de OWASP DependencyCheck. Puede anularlos en sus archivos build.sbt . Use la tarea dependencyCheckListSettings para imprimir todas las configuraciones disponibles y sus valores en la consola SBT.
| Configuración | Descripción | Valor predeterminado |
|---|---|---|
| dependencia checkaUtoupdate | Establece si la actualización automática de los datos NVD CVE/CPE, retirejs y supresiones alojados está habilitado. No se recomienda que esto se convierta en falso. | verdadero |
| dependencia checkcvevalidforHours | Establece el número de horas para esperar antes de consultar las nuevas actualizaciones del NVD. | 4 |
| dependencia checkfailbuildoncvss | Especifica si la compilación debe fallar si una puntuación CVSS anterior, o igual a, se identifica un nivel especificado. El valor predeterminado es 11, lo que significa que, dado que los puntajes CVSS son 0-10, de forma predeterminada, la compilación nunca fallará. Puede encontrar más información sobre los puntajes CVSS en el NVD | 11.0 |
| dependencia checkjunitfailbuildoncvss | Si se usa el formato de informe JUnit, el dependence checkjunitfailoncvss establece el umbral de puntaje CVSS que se considera una falla. El valor predeterminado es 0: todas las vulnerabilidades se consideran una falla. | 0 |
| DependencyCheckformat | El formato de informe se generará (HTML, XML, Junit, CSV, JSON, Sarif, Jenkins, All). Esta configuración se ignora si se establece DependencyCheckReportFormats. | Html |
| DependencyCheckformats | Una secuencia de formatos de informe a generar (HTML, XML, Junit, CSV, JSON, Sarif, Jenkins, ALL). | |
| DependencyCheckoutputDirectory | La ubicación para escribir el informe (s). | crossTarget.value Eg ./target/scala-2.11 |
| dependencia checkscanset | Una secuencia opcional de archivos que especifica archivos y/o directorios adicionales para analizar como parte del escaneo. Si no se especifica, el valor predeterminado a las convenciones estándar de Scala (consulte la documentación SBT para más detalles). | /src/main/resources |
| dependencia checkskip | Omita el análisis de verificación de dependencia | FALSO |
| dependencia checkskiptestscope | Omita el análisis para artefactos con alcance de prueba | verdadero |
| dependencia checkskipruntimescope | Skips Analysis para artefactos con alcance de tiempo de ejecución | FALSO |
| dependencia checkskipprovidedscope | Omite el análisis para artefactos con alcance proporcionado | FALSO |
| dependencia checkskipoctionalscope | Omita el análisis para artefactos con alcance opcional | FALSO |
| DependencyCheckSupresionFiles | La secuencia de rutas de archivo a los archivos de supresión XML, utilizada para suprimir los falsos positivos. Consulte suprimir falsos positivos para la sintaxis del archivo. | |
| dependencia checkcpestartswith | La cadena inicial para identificar los CPE que están calificados para ser importados. | |
| dependencia checkhintsfile | La ruta del archivo al archivo de sugerencias XML, utilizada para resolver falsos negativos. | |
| dependencia checkusesbtmoduleidasgav | Use el módulo SBT como identificador GAV. Asegura que GAV esté disponible incluso si Maven Central no lo es. | FALSO |
| dependencia checkanalysistimeut | Establezca el tiempo de espera del análisis en minutos | 20 |
| dependenceCheckenableExperimental | Habilitar los analizadores experimentales. Si no se habilitan, los analizadores experimentales (ver más abajo) no se cargarán ni usarán. | FALSO |
| dependencyCheckEnableretired | Habilite los analizadores retirados. Si no se habilitan, los analizadores retirados no serán cargados ni usados. | FALSO |
Las siguientes propiedades se utilizan para configurar los diversos analizadores de tipo de archivo. Estas propiedades se pueden usar para desactivar analizadores específicos si no es necesario. Tenga en cuenta que los analizadores específicos se deshabilitarán automáticamente si no se detectan tipos de archivos que admitan, por lo que puede no ser necesario deshabilitarlos específicamente. Para obtener más información sobre los analizadores individuales, consulte la documentación del analizador DependencyCheck.
| Configuración | Descripción | Valor predeterminado |
|---|---|---|
| dependencia checkarchiveanalyzerenable | Establece si se utilizará el analizador de archivo. | verdadero |
| dependencia checkzipextensions | Una lista separada por comas de extensiones de archivos adicionales para ser tratadas como un archivo zip, el contenido se extraerá y analizará. | |
| dependencia checkjarAnalyzerenable | Establece si se utilizará JAR Analyzer. | verdadero |
| dependencia checkdartanalyzerenable | Establece si el analizador de dardos experimentales está habilitado. dependencyCheckEnableExperimental debe establecerse en True. | verdadero |
| dependency check conocido EXPLOITEDENABLED | Establece si la actualización y el analizador de vulnerabilidad explotados conocidos están habilitados. | verdadero |
| dependency check conocido EXPLOITEDURL | Establece URL en la CISA conocida vulnerabilidades explotadas JSON Data Feed. | https://www.cisa.gov/sites/default/files/feeds/ conocido_exploited_vulnerability.json |
| dependency check conocido EXPLOITEDVALIDFORHORS | Establezca el intervalo en horas hasta que se realice la próxima verificación de Vulnerabilidades Explotadas CISA. | 24 |
| dependencia checkcentralanalyzerenable | Establece si se utilizará el analizador central. Si este analizador está siendo deshabilitado, hay una buena posibilidad de que también desee deshabilitar el analizador Nexus (ver más abajo). | FALSO |
| dependencia checkcentralanalyzerusecache | Establece si el analista central almacenará en caché los resultados. Los resultados en caché caducan después de 30 días. | verdadero |
| dependencia checkossindexanalyzerenable | Establece si el analizador de índice OSS estará habilitado. | verdadero |
| dependencia checkossindexanalyzerurl | URL del Servicio de índice OSS SONATYPE. | https://ossindex.sonatype.org |
| dependencia checkossindexanalyzerusecache | Establece si el analizador de índice OSS estará en caché los resultados. Los resultados en caché caducan después de 24 horas. | verdadero |
| dependencia checkossindexanalyzerusername | El nombre de usuario opcional para usar para el servicio de índice OSS Sonatype. Nota: No es necesaria una cuenta con índice OSS. | |
| dependencia checkossindexanalyzerpassword | La contraseña opcional para usar para el servicio de índice OSS Sonatype. | |
| dependencia checkossindexwarnonlyonremoteErrors | Establece si los errores remotos del índice OSS (por ejemplo, Bad Gateway, el límite de velocidad excedido) dará como resultado advertencias solo en lugar de fallar la ejecución. | FALSO |
| dependencia checknexusanalyzerenable | Establece si se utilizará Nexus Analyzer. Este analizador es reemplazado por el analizador central; Sin embargo, puede configurar esto para correr contra una instalación de Nexus Pro. | FALSO |
| dependencia checknexusurl | Define el punto final del servicio web del servidor Nexus (ejemplo http: //domain.enterprise/service/local/). Si no se establece, el analizador Nexus será deshabilitado. | https://repository.sonatype.org/service/local/ |
| dependencia checknexususesproxy | Si se debe usar o no el proxy definido al conectarse a Nexus. | verdadero |
| dependencia checknexususer | El nombre de usuario para autenticar en el punto final del servicio web del servidor Nexus. Si no se establece, el analizador Nexus utilizará una conexión no autenticada. | |
| DependencyCheckNexusPassword | La contraseña para autenticar en el punto final del servicio web del servidor Nexus. Si no se establece, el analizador Nexus utilizará una conexión no autenticada. | |
| dependencia checkpydistributionAnalyzerenable | Establece si se utilizará el analizador experimental de distribución de Python. dependencyCheckEnableExperimental debe establecerse en True. | verdadero |
| dependencia checkpypackageAnalyzerAbiled | Establece si se utilizará el analizador de paquetes de Python experimental . dependencyCheckEnableExperimental debe establecerse en True. | verdadero |
| dependencia checkrubygemsanalyzerenable | Establece si se utilizará el analizador experimental de ruby gemspec. dependencyCheckEnableExperimental debe establecerse en True. | verdadero |
| dependencia checkopensslanalyzerenable | Establece si se debe usar o no el analizador OpenSSL. dependencyCheckEnableExperimental debe establecerse en True. | verdadero |
| dependencia checkcmakeanalyzerenable | Establece si se debe utilizar o no el analizador CMake experimental . dependencyCheckEnableExperimental debe establecerse en True. | verdadero |
| dependencia checkautoconfanalyzerenable | Establece si se debe utilizar o no el analizador de autoconf experimental . dependencyCheckEnableExperimental debe establecerse en True. | verdadero |
| dependencia checkmaveninstallanalyzerenable | Establece si se debe utilizar o no el analizador de instalación de Maven. | verdadero |
| dependencia checkpipanalyzerenable | Establece si se debe utilizar o no el analizador PIP experimental . dependencyCheckEnableExperimental debe establecerse en True. | verdadero |
| dependencia checkpipfileanalyzerenable | Establece si el analizador dependencyCheckEnableExperimental pipfile experimental debe usarse o no se debe establecer en verdadero. | verdadero |
| dependency checkpoetryAnalyzerenable | Establece si el analizador de poesía experimental debe usarse o no se debe establecer dependencyCheckEnableExperimental en verdadero. | verdadero |
| dependencia checkComposerAnalyzerenable | Establece si se debe utilizar o no el analizador de archivos de bloqueo del compositor PHP experimental . dependencyCheckEnableExperimental debe establecerse en True. | verdadero |
| dependencia checkcpanfileanalyzerenable | Establece si se debe utilizar o no el analizador de archivos CPAN experimental de Perl. dependencyCheckEnableExperimental debe establecerse en True. | verdadero |
| dependencia checknodeanalyzerenable | Establece si se debe utilizar o no el analizador de nodo.js retirado . | FALSO |
| dependencia checknodepackageskipdevdependences | Establece si el analizador Node.js omitirá las devependencias. | FALSO |
| dependencia checknodeauditanalyzerenable | Establece si se debe usar o no el analizador de auditoría de nodo. | verdadero |
| dependencia checknodeauditskipdevdependences | Establece si el analizador de auditoría de nodo omitirá DevDependencies. | FALSO |
| dependencia checknodeauditanalyzerurl | Establece la URL de la API de auditoría del nodo para el analizador de auditoría de nodo. Si no se establece, usa URL predeterminada. | https://registry.npmjs.org/-/npm/v1/security/audits |
| dependencia checknodeauditanalyzerusecache | Establece si el analizador de auditoría de nodo almacenará en caché los resultados. Los resultados en caché caducan después de 24 horas. | verdadero |
| dependencia checknpmcpeanalyzerenable | Establece si se debe usar el analizador CPE NPM experimental o no. dependencyCheckEnableExperimental debe establecerse en True. | verdadero |
| dependencia checkyarnauditanalyzerenable | Establece si se debe usar el analizador de auditoría del hilo. Este analizador requiere hilo y una conexión a Internet. Use dependencyCheckNodeAuditSkipDevDependencies para omitir las dependencias. | verdadero |
| dependencia checkpathtoyarn | Establece la ruta al ejecutable de hilo. | |
| dependencia checkpnpmauditanalyzerenable | Establece si el analizador de auditoría PNPM está habilitado. Este analizador requiere PNPM y una conexión a Internet. Use nodeAuditSkipDevDependencies para omitir las dependencias de Dev. | verdadero |
| dependencia checkpathtopnpm | Establece la ruta al ejecutable pnpm . | |
| dependencia checknuspecanalyzerenable | Establece si se utilizará o no el analizador .NET NUGET NUSPEC. | verdadero |
| DependencyChecknugetConfanalyzerAbiled | Establece si se utilizará el analizador experimental .net nuget.config. dependencyCheckEnableExperimental debe establecerse en True. | FALSO |
| dependencia checkcocoapodsenable | Establece si se debe utilizar o no el analizador experimental de Cocoapods. dependencyCheckEnableExperimental debe establecerse en True. | verdadero |
| dependencia checkmixauditanalyzerenable | Establece si se debe usar o no el analizador de auditoría de mezcla experimental . dependencyCheckEnableExperimental debe establecerse en True. | mar |
| dependencia checkmixauditpath | Establece la ruta al ejecutable MIX_AUDIT; Solo se usa si el analizador de auditoría de mezcla está habilitado y los analizadores experimentales están habilitados. | |
| dependencia checkswiftenable | Establece si se debe utilizar o no el analizador experimental de Swift Package Manager. dependencyCheckEnableExperimental debe establecerse en True. | verdadero |
| DependencyCheckSwiftPackageresOlvedanalyzerenable | Establece si se debe utilizar o no el analizador experimental de paquete Swift resuelto. dependencyCheckEnableExperimental debe establecerse en True. | verdadero |
| dependencia checkbundleauditenable | Establece si se debe utilizar o no el analizador de auditoría de paquete de rubí experimental . dependencyCheckEnableExperimental debe establecerse en True. | verdadero |
| dependencia checkpathtobundleaudit | El camino hacia la auditoría del paquete de Ruby. | |
| dependencia checkbundleauditworkingdirectorio | Establece la ruta para el directorio de trabajo del que se debe ejecutar el binario de auditoría del paquete Ruby. | |
| dependencia checkassemblyAnalyzerenable | Establece si se debe usar o no el analizador de ensamblaje .NET. | verdadero |
| dependencia checkmsbuildanalyzerenable | Establece si se debe usar el analizador MSBuild. | verdadero |
| dependencia checkpathtodotnetcore | La ruta al núcleo de .NET para el análisis de ensamblaje de .NET en los sistemas que no son de Windows. | |
| dependencia checkpeanalyzerenable | Establece si se debe utilizar o no el analizador de PE experimental que lea los encabezados PE de los archivos DLL y EXE. dependencyCheckEnableExperimental debe establecerse en True. | verdadero |
| dependency checkretiRajsanalyzerAbiled | Establece si se debe utilizar o no el analizador de retirajs. | verdadero |
| dependencia checkretirejsforceupdate | Establece si el analizador de retirajs debe actualizarse independientemente de la configuración de "DependencyCheckaUtoupDate". | verdadero |
| dependencia checkretirejsanalyzerRepOJsurl | Establezca la URL en el repositorio de retirajs. Tenga en cuenta que el nombre del archivo debe ser jsrepository.json | https://raw.githubusercontent.com/retirejs/retire.js/master/repository/jsrepository.json |
| dependencia checkretirejsanalyzerropuser | Nombre de usuario para la autenticación para conectarse a la URL de retirajs. | |
| DependencyCheckretIrajsanalyzerRepopassword | Contraseña para la autenticación para conectarse a URL de retirajs. | |
| dependencia checkretirejsanalyzerRepovalid para | Establezca el intervalo en horas hasta que el analizador de retirajs realice la siguiente comprobación de CVE. | 24 |
| dependencia checkretirajsanalyzerfilters | Establezca uno o más filtros para el analizador de retirajs. | |
| dependencia checkretirejsanalyzerfilternonvulnerable | Establece si el analizador de retirajs debe filtrar dependencias no vulnerables o no | FALSO |
| dependencyCheckArTifactoryAnalyCreenable | Establece si se utilizará o no el analizador de artefactory JFrog | FALSO |
| dependencia checkarTifactoryAnalyzerUrl | La URL del servidor de artefactorios. | |
| dependencia checkarTifactoryAnalyzeruseproxi | Establece si se debe acceder a Artifactory a través de un proxy o no. | FALSO |
| dependencia checkarTifactoryAnalyzerParallelysisiSysis | Establece si el analizador de artefactorio debe ejecutarse en paralelo o no. | verdadero |
| dependencia checkarTifactoryAnalyzerUsername | El nombre de usuario (solo se usa con el token API) para conectarse a una instancia artificial. | |
| dependencia checkarTifactoryAnalyzerapitoken | El token API para conectarse a una instancia artificial. Nota: Estas configuraciones no deben agregarse a su archivo build.sbt local y comprometerse con su repositorio de código por razones de seguridad. Se pueden agregar a ~/.sbt/<version>/global.sbt en su lugar | |
| dependencia checkarTifactoryAnalyzerBearerToken | El token de portador para conectarse a una instancia artificial. Nota: Estas configuraciones no deben agregarse a su archivo build.sbt local y comprometerse con su repositorio de código por razones de seguridad. Se pueden agregar a ~/.sbt/<version>/global.sbt en su lugar | |
| DependencyCheckGolangDepenApled | Establece si se debe utilizar o no el analizador de dependencia de Golang experimental . dependencyCheckEnableExperimental debe establecerse en True. | verdadero |
| dependencia checkgolangmodenable | Establece si se debe utilizar o no el analizador de módulos Golang experimental . Requiere go a instalar. dependencyCheckEnableExperimental debe establecerse en True. | verdadero |
| dependencia checkpathtogo | El camino hacia el tiempo de ejecución "Go". |
Las siguientes propiedades se pueden configurar en el complemento. Sin embargo, se cambian con menos frecuencia. Una excepción puede ser las propiedades de Cvedurl, que pueden usarse para alojar un espejo del NVD dentro de un entorno empresarial.
| Configuración | Descripción | Valor predeterminado |
|---|---|---|
| dependencia checkcveurlmodified | URL para la alimentación de datos CVE JSON modificada. Al reflejar el NVD, debe reflejar los archivos *.json.gz y los *.meta. Opcional si su dependencyCheckCveUrlBase personalizada CHECKCVEURLBASE es solo un cambio de nombre de dominio. | https://nvd.nist.gov/feeds/json/cve/1.1/nvdcve-1.1-modified.json.gz |
| dependencia checkcveurlbase | URL base para la alimentación de datos CVE JSON de cada año, el %D será reemplazado por el año. | https://nvd.nist.gov/feeds/json/cve/1.1/nvdcve-1.1-%d.json.gz |
| dependencia checkcveuser | El nombre de usuario utilizado al conectarse a dependencyCheckCveUrlBase . | |
| DependencyCheckCvePassword | La contraseña utilizada al conectarse a dependencyCheckCveUrlBase . | |
| dependencia checkcvewaittime | El tiempo en milisegundos para esperar entre descargas del NVD. | 4000 |
| dependencia checkcvestartyear | El primer año de datos NVD CVE para descargar desde el NVD. | 2002 |
| dependency checkconnectiontimeout | Establece el tiempo de espera de conexión de URL (en milisegundos) utilizados al descargar datos externos. | |
| dependencia checkconnectionreadtimeout | Establece el tiempo de espera de lectura de URL (en milisegundos) utilizados al descargar datos externos. | |
| dependencia checkdatadirectorio | Establece el directorio de datos para contener el contenido de SQL CVE. Esto generalmente no debería cambiarse. | [Jar] datos |
| DependencyCheckDatabasedRivername | El nombre del controlador de la base de datos. Ejemplo: org.h2.driver. | org.h2.driver |
| dependencia checkdatabasedriverpath | La ruta al archivo JAR del controlador de la base de datos; Solo se usa si el controlador no está en la ruta de clase. | |
| dependencia checkconnectionstring | La cadena de conexión utilizada para conectarse a la base de datos, el %s se reemplazará con un nombre para la base de datos | jdbc: h2: archivo:%s; autocommit = on; mv_store = false; |
| dependencia checkdatabaseuser | El nombre de usuario utilizado al conectarse a la base de datos. | dCUSER |
| dependencia checkdatabasepassword | La contraseña utilizada al conectarse a la base de datos. | |
| dependencyCheckHostedSupresionSEnable | Si se utilizará el archivo de supresión alojado. | verdadero |
| dependencia checkhostedsupresionsforceupdate | Si el archivo de supresiones alojado se actualizará independientemente de la configuración dependencyCheckAutoUpdate . | FALSO |
| dependencia checkhostedsupresionsurl | La URL a una copia reflejada del archivo de supresiones alojadas para entornos limitados por Internet. | https://jeremylong.github.io/dependencycheck/supplesions/publishishedsupresions.xml |
| dependencia checkhostedSupresionsValidforHours | Establece el número de horas para esperar antes de consultar las nuevas actualizaciones del NVD. | 2 |
Use el alcance Global o ThisBuild , si desea definir una configuración para todos los proyectos. Defina en el nivel del proyecto si desea divergir desde la configuración predeterminada o global/thisild para un proyecto específico.
build.sbt
Global / dependencyCheckFormats := Seq ( " HTML " , " JSON " )
lazy val root = (project in file( " . " ))
.aggregate(core)
.settings(
libraryDependencies += " com.github.t3hnar " %% " scala-bcrypt " % " 2.6 " % " test " ,
dependencyCheckSkipTestScope := false
)
lazy val util = (project in file( " util " ))
.settings(
libraryDependencies += " commons-beanutils " % " commons-beanutils " % " 1.9.1 "
)
lazy val core = project.dependsOn(util)
.settings(
libraryDependencies += " org.apache.commons " % " commons-collections4 " % " 4.1 " % " runtime " ,
dependencyCheckSkip := true
)
Casi todas las configuraciones solo se evalúan para el proyecto en el que está ejecutando la tarea, no para cada subproyecto individual. La exención que se admite para funcionar para los proyectos aggregate() y dependsOn() , son la configuración de omisión del alcance:
dependencyCheckSkipdependencyCheckSkipTestScopedependencyCheckSkipRuntimeScopedependencyCheckSkipProvidedScopedependencyCheckSkipOptionalScopeDebe establecerlos individualmente para cada proyecto si es necesario.
Agregue lo siguiente a su archivo build.sbt para aumentar el nivel de registro de info predeterminada a debug por ejemplo.
logLevel in dependencyCheck := Level.Debug
y agregue -Dlog4j2.level=debug al ejecutar un cheque:
sbt -Dlog4j2.level=debug dependencyCheck
Reemplace dependencyCheck con el nombre de tarea correcto que usa para su proyecto.
Si desea aplicar una configuración predeterminada para todos sus proyectos SBT, puede agregarlos como configuración global:
Agregue el complemento a ~/.sbt/1.0/plugins/sbt-dependency-check.sbt
addSbtPlugin( " net.vonbuchholtz " % " sbt-dependency-check " % " 5.1.0 " ) Agregue la configuración en ~/.sbt/1.0/global.sbt usando su nombre totalmente calificado (incluido el paquete y la estructura de objetos anidados). P.ej
net.vonbuchholtz.sbt.dependencycheck. DependencyCheckPlugin .autoImport.dependencyCheckFormat := " All "Para obtener más información sobre la configuración y los complementos globales, verifique la documentación de SBT: https://www.scala-sbt.org/1.x/docs/global-settings.html
SBT y sbt-dependency-check honran la configuración estándar de proxy HTTP y HTTPS para el JVM.
sbt -Dhttp.proxyHost=proxy.example.com
-Dhttp.proxyPort=3218
-Dhttp.proxyUser=username
-Dhttp.proxyPassword=password
-DnoProxyHosts="localhost|http://www.google.com"
dependencyCheck
purgeDeletesDatabase ejecutan Update PUBLIC.PROPERTIES t SET t."VALUE"= '<NEW_VERSION_NUMBER>' WHERE t.ID = 'version' Ejecute la tarea release y siga las instrucciones. Verifique que la liberación llegó a Maven Central. Lleva hasta dos horas adicionales para indexarse para https://search.maven.org.
Copyright (c) 2016-2022 Alexander Baron v. Buchholtz
Licenciado bajo la licencia Apache, versión 2.0 (la "licencia"); No puede usar este archivo, excepto de conformidad con la licencia. Puede obtener una copia de la licencia en
https://www.apache.org/licenses/license-2.0
A menos que la ley aplicable sea requerida o acordado por escrito, el software distribuido bajo la licencia se distribuye de manera "como es", sin garantías o condiciones de ningún tipo, ya sea expresas o implícitas. Consulte la licencia para los permisos y limitaciones de rigor de idioma específico bajo la licencia.
