Page d'accueil>Code source JSP>Autres catégories
Télécharger

SBT-Dependance-Check Statut de construction

Le plugin SBT-Dependance Check permet aux projets de surveiller les bibliothèques dépendantes pour des vulnérabilités publiées connues (par exemple CVE). Le plugin y parvient en utilisant la bibliothèque Awesome OWASP DependencyCheck qui propose déjà plusieurs intégrations avec d'autres systèmes de build et d'intégration continue. Pour plus d'informations sur le fonctionnement de la dépendance OWASP et comment lire les rapports, vérifiez la documentation du projet.

Table des matières

  • Commencer
  • Usage
    • Tâches
    • Configuration
      • Configuration de l'analyseur
      • Configuration avancée
    • Configuration multi-projets
    • Modification du niveau du journal
    • Configuration du plugin global
    • Courir derrière un proxy
  • Développement
    • Libérer
  • Licence

Commencer

SBT-Dependance Check est une autoplugine. Ajoutez simplement le plugin au fichier project/plugins.sbt . 

 addSbtPlugin("net.vonbuchholtz" % "sbt-dependency-check" % "5.1.0")

Utilisez SBT-Dependency-Check v2.0.0 ou plus car les versions précédentes ne sont plus compatibles avec les flux NVD. En commençant par SBT-Dependency-Check v3.0.0 SBT V0.13.x n'est plus pris en charge.

Usage

Tâches

Tâche Description Commande
dépendance à la dépendance Exécute la dépendance à vérifier le projet actuel, ses agrégats et ses dépendances et génère un rapport pour chaque projet. $ sbt dependencyCheck
dépendance de la dépendance Exécute la dépendance à vérifier le projet actuel, ses agrégats et ses dépendances et génère un seul rapport dans le répertoire de sortie du projet actuel. $ sbt dependencyCheckAggregate
DependencyCheckanyproject Exécute la dépendance à vérifier tous les projets, les agrégats et les dépendances et génère un seul rapport dans le répertoire de sortie du projet actuel. $ sbt dependencyCheckAnyProject
DependencyCheckupdately Met à jour le cache local des données NVD de NIST. $ sbt dependencyCheckUpdateOnly
dépendance de la tâche Supprime la copie locale du NVD. Ceci est utilisé pour forcer un actualisation des données. $ sbt dependencyCheckPurge
dépendanceChecklistSettings Imprime tous les paramètres et leurs valeurs pour le projet. $ sbt dependencyCheckListSettings

Les rapports seront écrits à l'emplacement par défaut crossTarget.value . Cela peut être écrasé en définissant dependencyCheckOutputDirectory . Voir la configuration pour plus de détails.

Remarque: La première exécution peut prendre un certain temps car les données complètes de la base de données nationale de vulnérabilité (NVD) hébergée par NIST: https://nvd.nist.gov doivent être téléchargées et importées dans la base de données. Les exécutions ultérieures ne téléchargeront que des ensembles de modifications à moins que la dernière mise à jour soit il y a plus de 7 jours. Il est recommandé de mettre en place un miroir de l'alimentation NVD dans votre réseau local pour réduire le risque de limitation du taux. Voir https://github.com/stevespringett/Nist-Data-mirror pour des instructions.

Configuration

sbt-dependency-check utilise la configuration par défaut de OWASP DependencyCheck. Vous pouvez les remplacer dans vos fichiers build.sbt . Utilisez la tâche dependencyCheckListSettings pour imprimer tous les paramètres disponibles et leurs valeurs sur la console SBT.

Paramètre Description Valeur par défaut
dépendanceCheckAutoupDate Définit si la mise à jour automatique des données NVD CVE / CPE, RetireJS et suppressions hébergées est activée. Il n'est pas recommandé que cela soit transformé en faux. vrai
dépendanceCheckcvevalidForHours Définit le nombre d'heures à attendre avant de vérifier les nouvelles mises à jour du NVD. 4
dépendanceCheckfailBuilDoncvss Spécifie si la construction doit échouer si un score CVSS ci-dessus, ou égal à, un niveau spécifié est identifié. La valeur par défaut est 11, ce qui signifie que les scores CVSS sont 0-10, par défaut, la version n'échouera jamais. Plus d'informations sur les scores CVSS peuvent être trouvées au NVD 11.0
dépendanceCheckJunitfailBuilDoncvsss Si vous utilisez le format de rapport JUnit, la dépendanceCheckJunitFailCVSS définit le seuil de score CVSS qui est considéré comme un échec. La valeur par défaut est 0 - toutes les vulnérabilités sont considérées comme un échec. 0
dépendanceCheckformat Le format de rapport à générer (HTML, XML, JUnit, CSV, JSON, Sarif, Jenkins, tous). Ce paramètre est ignoré si DependencyCheckReportformats est défini. Html
dépendanceCheckformats Une séquence de formats de rapport à générer (HTML, XML, Junit, CSV, JSON, Sarif, Jenkins, All).
dépendanceCheckoutputDirectory L'emplacement pour rédiger le (s) rapport (s). crossTarget.value par exemple ./target/scala-2.11
DependencyChecksCanset Une séquence facultative de fichiers qui spécifient des fichiers et / ou des répertoires supplémentaires à analyser dans le cadre de l'analyse. S'il n'est pas spécifié, par défaut, les conventions Scala standard (voir la documentation SBT pour plus de détails). /src/main/resources
dépendanceCheckskip Ignore l'analyse de vérification de la dépendance FAUX
DependencyCheckSkiptestScope Ignore l'analyse des artefacts avec portée de test vrai
DependencyChecksKipruntimescope Ignore l'analyse pour les artefacts avec une portée d'exécution FAUX
DependencyCheckskipprovidedScope Ignore l'analyse des artefacts avec une portée fournie FAUX
DependencyCheckskipoptionalscope Ignore l'analyse pour les artefacts avec une portée facultative FAUX
DependencyCheckSuppressionfiles La séquence des chemins de fichier vers les fichiers de suppression XML - utilisés pour supprimer les faux positifs. Voir Suppression de faux positifs pour la syntaxe du fichier.
DependencyCheckcPestartswith La chaîne de départ pour identifier les CPE qui sont qualifiés pour être importés.
dépendanceCheckHintsfile Le chemin du fichier vers le fichier XML fait allusion - utilisé pour résoudre les faux négatifs.
DependencyCheckusBtModuleidasgav Utilisez le SBT ModuleID comme identifiant GAV. S'assure que Gav est disponible même si Maven Central ne l'est pas. FAUX
dépendanceCheckanalysiTimeout Définissez le délai d'analyse en quelques minutes 20
la dépendance est en train de voir Activer les analyseurs expérimentaux. Si non activé, les analyseurs expérimentaux (voir ci-dessous) ne seront pas chargés ou utilisés. FAUX
dépendanceCheckenableRerered Activez les analyseurs à la retraite. Si les analyseurs à la retraite non activés ne seront pas chargés ou utilisés. FAUX

Configuration de l'analyseur

Les propriétés suivantes sont utilisées pour configurer les différents analyseurs de type de fichiers. Ces propriétés peuvent être utilisées pour désactiver des analyseurs spécifiques s'il n'est pas nécessaire. Remarquez que les analyseurs spécifiques se désactiveront automatiquement si aucun type de fichier qu'ils prenne en charge n'est détecté - donc les désactiver spécifiquement ne peuvent pas être nécessaires. Pour plus d'informations sur les analyseurs individuels, consultez la documentation de DependencyCheck Analyzer.

Paramètre Description Valeur par défaut
dépendanceCheckArchIVEAnalyserreenabled Définit si l'analyseur d'archives sera utilisé. vrai
dépendancecheckzipextensions Une liste séparée par des virgules d'extensions de fichiers supplémentaires à traiter comme un fichier zip, le contenu sera extrait et analysé.
dépendanceCheckjaranalyserreenabled Définit si l'analyseur JAR sera utilisé. vrai
dépendanceCheckdartAnalyserreenabled Définit si l'analyseur de Dart expérimental est activé. dependencyCheckEnableExperimental doit être défini sur VRAI. vrai
dépendanceCheck connuexpoitedEnabled Définit si la mise à jour et l'analyseur de vulnérabilité exploitées connues sont activées. vrai
dépendanceCheck connuexpoitedUrl Définit l'URL sur les CISA connues exploitées vulnérabilités JSON Feed. https://www.cisa.gov/sites/default/files/feeds/known_exploited_vulnerabilities.json
dépendanceCheck connu ExploitedValidForHours Définissez l'intervalle en heures jusqu'à ce que le prochain vérificateur pour les vulnérabilités exploitées CISA connues JSON se réalise. 24
dépendanceCheckCentralAnalyserreenabled Ensemble si l'analyseur central sera utilisé. Si cet analyseur est désactivé, il y a de fortes chances que vous souhaitiez également désactiver l'analyseur Nexus (voir ci-dessous). FAUX
DependencyCheckCentralAnalyzeruseCache Définit si l'analyseur central mettra en cache les résultats. Les résultats mis en cache expirent après 30 jours. vrai
dépendanceCheckossIndexanalyserreenabled Définit si l'analyseur d'index OSS sera activé. vrai
dépendancecheckossindexanalyzerurl URL du service d'index OSS sonaType. https://ossindex.sonatype.org
DependencyCheckossIndexanalyzeruseCache Définit si l'analyseur d'index OSS mettra en cache les résultats. Les résultats mis en cache expirent après 24 heures. vrai
DependencyCheckossIndexanalyzerUsername Le nom d'utilisateur facultatif à utiliser pour le service d'index OSS de sonat. Remarque: un compte avec index OSS n'est pas requis.
DependencyCheckossIndexanalyzerpassword Le mot de passe facultatif à utiliser pour le service d'index OSS de sonat.
DependencyCheckossIndexWarnonlyonRemoteErrors Définit si les erreurs distantes de l'indice OSS (par exemple Bad Gateway, la limite de taux dépassée) ne se traduiront qu'à des avertissements uniquement au lieu d'échouer l'exécution. FAUX
dépendanceCheckNexusanalyserreenabled Définit si Nexus Analyzer sera utilisé. Cet analyseur est remplacé par l'analyseur central; Cependant, vous pouvez configurer cela pour s'exécuter contre une installation Nexus Pro. FAUX
dépendanceChecknexusurl Définit le point final du service Web du serveur NEXUS (exemple http: //domain.enterprise/service/local/). Sinon, la définition de l'analyseur Nexus sera désactivée. https://repository.sonatype.org/service/local/
dépendancechecknexususproxy Que le proxy défini doit être utilisé ou non lors de la connexion à Nexus. vrai
dépendanceCheckNexusUser Le nom d'utilisateur pour s'authentifier au point final du service Web du serveur NEXUS. Sinon, l'analyseur NEXUS utilisera une connexion non authentifiée.
dépendanceCheckNEXUSPassword Le mot de passe à s'authentifier au point final du service Web du serveur Nexus Server. Sinon, l'analyseur NEXUS utilisera une connexion non authentifiée.
dépendanceCheckpyDistribution are Définit si l'analyseur expérimental de distribution Python sera utilisé. dependencyCheckEnableExperimental doit être défini sur VRAI. vrai
DependencyCheckPypackageAnalyserreenabled Définit si l'analyseur expérimental de package Python sera utilisé. dependencyCheckEnableExperimental doit être défini sur VRAI. vrai
DependencyCheckRuByGemsanalyserreenabled Définit si l'analyseur expérimental Ruby GemSpec sera utilisé. dependencyCheckEnableExperimental doit être défini sur VRAI. vrai
DependencyCheckopenssLanalyserreenabled Ensemble si l'analyseur OpenSSL doit être utilisé ou non. dependencyCheckEnableExperimental doit être défini sur VRAI. vrai
DependencyCheckcMakeAnalyserreenabled Ensemble si l'analyseur CMake expérimental doit être utilisé ou non. dependencyCheckEnableExperimental doit être défini sur VRAI. vrai
DependencyCheckAutoConfanalyserreenabled Ensemble si l'analyseur expérimental AutoConF doit être utilisé ou non. dependencyCheckEnableExperimental doit être défini sur VRAI. vrai
DependencyCheckmaveninstallanalyserreenabled Ensemble si l'analyseur d'installation Maven doit être utilisé ou non. vrai
dépendanceCheckPipAnalyserreenabled Ensemble si l'analyseur PIP expérimental doit être utilisé ou non. dependencyCheckEnableExperimental doit être défini sur VRAI. vrai
dépendanceCheckPipFileAnalyserreenabled Ensembles, si l'analyseur expérimental de PipFile doit être utilisé ou non dependencyCheckEnableExperimental doit être définie sur true. vrai
DependencyCheckpoetryAnalyserreenabled Ensembles, si l'analyseur de poésie expérimentale doit être utilisé ou non dependencyCheckEnableExperimental doit être définie sur true. vrai
dépendanceCheckComposeranalyserreenabled Ensemble, si l'analyseur de fichiers de verrouillage PHP de compositeur PHP expérimental doit être utilisé ou non. dependencyCheckEnableExperimental doit être défini sur VRAI. vrai
DependencyCheckcPanfileanalyserreenabled Ensemble si l'analyseur de fichiers Perl CPAN expérimental doit être utilisé ou non. dependencyCheckEnableExperimental doit être défini sur VRAI. vrai
dépendanceCheckNodeanalyserreenabled Définit si l'analyseur Node.js à la retraite doit être utilisé ou non. FAUX
DependencyCheckNodePackagesKipDevDependances Définit si l'analyseur Node.js sautera les DevDependces. FAUX
dépendanceCheckNodeAuditAnalyserreenabled Ensemble si l'analyseur d'audit du nœud doit être utilisé ou non. vrai
DependencyCheckNodeAuditsKipDevDependances Définit si l'analyseur d'audit du nœud ignorera les DevDependces. FAUX
dépendanceCheckNodeAuditanalyzerurl Définit l'URL de l'API d'audit du nœud pour l'analyseur d'audit du nœud. Sinon, utilise une URL par défaut. https://registry.npmjs.org/-/npm/v1/security/audits
DependencyCheckNodeAuditanalyzeruseCache Définit si l'analyseur d'audit du nœud mettra en cache les résultats. Les résultats mis en cache expirent après 24 heures. vrai
DependencyChecknpmCpeanalyserreenabled Ensembles si l'analyseur expérimental du CPE NPM ou non doit être utilisé. dependencyCheckEnableExperimental doit être défini sur VRAI. vrai
DependencyCheckyarnaudanalyserreenabled Définit si l'analyseur d'audit du fil doit être utilisé. Cet analyseur nécessite du fil et une connexion Internet. Utilisez dependencyCheckNodeAuditSkipDevDependencies pour sauter les dépendances de développement. vrai
DependencyCheckPathToyarn Définit le chemin vers l'exécutable du fil.
DependencyCheckpnpmauditanalyserreenabled Définit si l'analyseur d'audit PNPM est activé. Cet analyseur nécessite PNPM et une connexion Internet. Utilisez nodeAuditSkipDevDependencies pour sauter les dépendances de développement. vrai
dépendanceCheckPathTopnpm Définit le chemin d'accès à l'exécutable pnpm .
dépendanceCheckNuspecanAyzeRenabled Ensemble si l'analyseur NUGET NUGET NUGET .NET sera utilisé ou non. vrai
DependencyCheckNuGetConfanalyserreenabled Définit si les packages expérimentaux .NET NUGET.Config Analyzer seront utilisés. dependencyCheckEnableExperimental doit être défini sur VRAI. FAUX
DependencyCheckCocoPodSenabled Ensembles si l'analyseur expérimental de CocoAPods doit être utilisé ou non. dependencyCheckEnableExperimental doit être défini sur VRAI. vrai
dépendanceCheckMixAuditAnalyserreenabled Ensembles si l'analyseur d'audit de mix expérimental doit être utilisé ou non. dependencyCheckEnableExperimental doit être défini sur VRAI. mar
DependencyCheckmixauditPath Définit le chemin vers l'exécutable Mix_Audit; Utilisé uniquement si l'analyseur d'audit de mix est activé et que les analyseurs expérimentaux sont activés.
DependencyCheck Définit si l'analyseur expérimental de Swift Package Manager doit être utilisé ou non. dependencyCheckEnableExperimental doit être défini sur VRAI. vrai
DependencyChecksWiftPackageResolvedanalyserable Ensembles si l'analyseur expérimental SWIFT résolu doit être utilisé ou non. dependencyCheckEnableExperimental doit être défini sur VRAI. vrai
DependencyCheckBundleAuDenabled Ensembles si l'analyseur de vérification expérimental du bundle Ruby ou non doit être utilisé. dependencyCheckEnableExperimental doit être défini sur VRAI. vrai
DependencyCheckPathTobundleaudit Le chemin vers l'audit de Ruby Bundle.
DependencyCheckBundleauditWorkingDirectory Définit le chemin du répertoire de travail dont le binaire Ruby Bundle Binary devrait être exécuté.
DependencyCheckAssemblyAnalyserreenabled Ensemble si l'analyseur d'assemblage .NET doit être utilisé ou non. vrai
DependencyCheckmsBuildAnalyserreenabled Définit si l'analyseur MSBuild doit être utilisé. vrai
dépendancecheckpathtodotnetcore Le chemin d'accès à .NET Core pour l'analyse de l'assemblage .NET sur les systèmes non Windows.
dépendanceCheckPeanalyserreenabled Définit si l'analyseur PE expérimental qui lit les en-têtes PE des fichiers DLL et EXE doit être utilisé. dependencyCheckEnableExperimental doit être défini sur VRAI. vrai
dépendanceCheckRetirejsanalyserreenabled Ensemble si l'analyseur RetireJS doit être utilisé ou non. vrai
dépendanceCheckRetirejsforceupdate Définit si l'analyseur RetireJS doit mettre à jour quel que soit le paramètre «DependencyCheckAutoupDate». vrai
dépendanceCheckRetirejsanalyzerRepojsurl Définissez l'URL sur le référentiel RetireJS. Remarque Le nom de fichier doit être jsrepository.json https://raw.githubusercontent.com/retirejs/retire.js/master/repository/jsrepository.json
dépendanceCheckRetirejsanalyzerRepouser Nom d'utilisateur pour l'authentification pour se connecter à l'URL RetireJS.
DependencyCheckRetirejsanalyzerRepopassword Mot de passe pour l'authentification pour se connecter à URL Retirejs.
DependencyCheckRetirejsanalyzerRepovalIdFor Définissez l'intervalle en heures jusqu'à la prochaine vérification des mises à jour CVES est effectuée par l'analyseur RetireJS 24
DependencyCheckRetirejsanalyzerfilters Définissez un ou plusieurs filtres pour l'analyseur RetireJS.
dépendanceCheckRetirejsanalyzerfilternvulnerable Ensemble si l'analyseur RetireJS doit filtrer ou non les dépendances non vulnérables FAUX
DependanceCheckartifactoryAnalyserreenabled Ensembles si l'analyseur d'artefactoire JFrog sera utilisé ou non FAUX
DependanceCheckartifactoryAnalyzerurl L'URL du serveur artefactoire.
DependanceCheckartifactoryAnalyzeruseproxy Définit si l'artefactoire doit être accessible via un proxy ou non. FAUX
DependanceCheckartifactoryAnalyzerParalleLanalysis Ensemble si l'analyseur d'artefactoire doit être exécuté ou non parallèle. vrai
DependencyCheckartifactoryAnalyzerUsername Le nom d'utilisateur (uniquement utilisé avec API Token) pour se connecter à l'instance d'artefactoire.
DependanceCheckartifactoryAnalyzerapitoken Le jeton API pour se connecter à l'instance d'artefactoire. Remarque: Ces paramètres ne doivent pas être ajoutés à votre fichier build.sbt local et engagés dans votre référentiel de code pour des raisons de sécurité. Ils peuvent être ajoutés au fichier ~/.sbt/<version>/global.sbt à la place
dépendance de la dépendance Le jeton de support pour se connecter à l'instance d'artefactoire. Remarque: Ces paramètres ne doivent pas être ajoutés à votre fichier build.sbt local et engagés dans votre référentiel de code pour des raisons de sécurité. Ils peuvent être ajoutés au fichier ~/.sbt/<version>/global.sbt à la place
dépendanceCheckGolangDepenabled Ensemble, si l'analyseur expérimental de la dépendance à Golang doit être utilisé ou non. dependencyCheckEnableExperimental doit être défini sur VRAI. vrai
dépendancecheckgolangmodenabled Ensemble, si l'analyseur expérimental de module Golang doit être utilisé ou non. Nécessite go à installer. dependencyCheckEnableExperimental doit être défini sur VRAI. vrai
dépendanceCheckpathtogo Le chemin vers l'exécution "Go".

Configuration avancée

Les propriétés suivantes peuvent être configurées dans le plugin. Cependant, ils sont moins fréquemment modifiés. Une exception peut être les propriétés CvedUrl, qui peuvent être utilisées pour héberger un miroir du NVD dans un environnement d'entreprise.

Paramètre Description Valeur par défaut
dépendanceCheckcveUrlModified URL pour le flux de données CVE JSON modifié. Lors de la mise en miroir du NVD, vous devez refléter les fichiers * .json.gz et * .Meta. Facultatif si votre dependencyCheckCveUrlBase personnalisé n'est qu'un changement de nom de domaine. https://nvd.nist.gov/feeds/json/cve/1.1/nvdcve-1.1-modified.json.gz
dépendanceCheckcveUrlBase URL de base pour le flux de données CVE JSON de chaque année, le% D sera remplacé par l'année. https://nvd.nist.gov/feeds/json/cve/1.1/nvdcve-1.1-%d.json.gz
DependencyCheckcveUser Le nom d'utilisateur utilisé lors de la connexion à la dependencyCheckCveUrlBase .
dépendanceCheckCvePassword Le mot de passe utilisé lors de la connexion à la dependencyCheckCveUrlBase .
dépendancecheckcvewaittime Le temps en millisecondes à attendre entre les téléchargements du NVD. 4000
DependencyCheckCvestartyear La première année de données NVD CVE à télécharger à partir du NVD. 2002
dépendanceCheckConnectiontimeout Définit le délai d'expiration de la connexion URL (en millisecondes) utilisé lors du téléchargement des données externes.
dépendanceCheckConnectionReadTimeout Définit le délai d'expiration de lecture URL (en millisecondes) utilisé lors du téléchargement des données externes.
dépendanceCheckDatadirectory Définit le répertoire de données pour maintenir le contenu SQL CVES. Cela ne doit généralement pas être modifié. [Pot] Données
DependencyCheckDatabasedrivername Le nom du pilote de base de données. Exemple: org.h2.driver. org.h2.Driver
DependencyCheckDatabasedRiverPath Le chemin d'accès vers le fichier JAR du pilote de base de données; Utilisé uniquement si le pilote n'est pas sur le chemin de la classe.
dépendanceCheckConnectionString La chaîne de connexion utilisée pour se connecter à la base de données, le% S sera remplacé par un nom pour la base de données JDBC: H2: fichier:% s; autoCommit = on; mv_store = false;
dépendanceCheckDatabaseuser Le nom d'utilisateur utilisé lors de la connexion à la base de données. dcuseur
DependencyCheckDatabasePassword Le mot de passe utilisé lors de la connexion à la base de données.
DependencyCheckHostedSuppressionsNabled Si le fichier de suppression hébergé sera utilisé. vrai
DependencyCheckHostedSuppressions pour lepceupdate Si le fichier de suppressions hébergé se mettra à jour quel que soit le paramètre dependencyCheckAutoUpdate . FAUX
DependencyCheckHostedSuppressionsUrl L'URL vers une copie en miroir du fichier de suppressions hébergées pour les environnements limités sur Internet. https://jeremylong.github.io/dependencycheck/suppressions/publishsuppressions.xml
DependencyCheckHostedSuppressionsValidForHours Définit le nombre d'heures à attendre avant de vérifier les nouvelles mises à jour du NVD. 2

Configuration multi-projets

Utilisez la portée Global ou ThisBuild si vous souhaitez définir un paramètre pour tous les projets. Définissez au niveau du projet si vous souhaitez diverger à partir du paramètre par défaut ou global / thisbuild pour un projet spécifique.

build.sbt 

 Global / dependencyCheckFormats := Seq ( " HTML " , " JSON " )

lazy val root = (project in file( " . " ))
  .aggregate(core)
  .settings(
	libraryDependencies += " com.github.t3hnar " %% " scala-bcrypt " % " 2.6 " % " test " ,
	dependencyCheckSkipTestScope := false
  )

lazy val util = (project in file( " util " ))
  .settings(
    libraryDependencies += " commons-beanutils " % " commons-beanutils " % " 1.9.1 "
  )

lazy val core = project.dependsOn(util)
  .settings(
    libraryDependencies += " org.apache.commons " % " commons-collections4 " % " 4.1 " % " runtime " ,
    dependencyCheckSkip := true
  )

Presque tous les paramètres sont évalués uniquement pour le projet sur lequel vous exécutez la tâche, pas pour chaque sous-projet individuel. L'exemption qui est soutenue pour fonctionner pour les projets aggregate() et dependsOn() , sont les paramètres de saut de portée:

  • dependencyCheckSkip
  • dependencyCheckSkipTestScope
  • dependencyCheckSkipRuntimeScope
  • dependencyCheckSkipProvidedScope
  • dependencyCheckSkipOptionalScope

Vous devez les définir individuellement pour chaque projet si nécessaire.

Modification du niveau du journal

Ajoutez ce qui suit dans votre fichier build.sbt pour augmenter le niveau de journal info par défaut à debug par exemple. 

 logLevel in dependencyCheck := Level.Debug

et ajouter -Dlog4j2.level=debug lors de l'exécution d'un chèque: 

 sbt -Dlog4j2.level=debug dependencyCheck

Remplacez dependencyCheck par le bon nom de tâche que vous utilisez pour votre projet.

Configuration du plugin global

Si vous souhaitez appliquer une configuration par défaut pour tous vos projets SBT, vous pouvez les ajouter en tant que paramètres globaux:

  1. Ajoutez le plugin à ~/.sbt/1.0/plugins/sbt-dependency-check.sbt 

    addSbtPlugin( " net.vonbuchholtz " % " sbt-dependency-check " % " 5.1.0 " )

  2. Ajoutez des paramètres à ~/.sbt/1.0/global.sbt en utilisant leur nom entièrement qualifié (y compris le package et la structure d'objets imbriqués). Par exemple 

    net.vonbuchholtz.sbt.dependencycheck. DependencyCheckPlugin .autoImport.dependencyCheckFormat := " All "

Pour plus d'informations sur les paramètres globaux et les plugins, consultez la documentation SBT: https://www.scala-sbt.org/1.x/docs/global-settings.html

Courir derrière un proxy

SBT et sbt-dependency-check honorent tous deux les paramètres de proxy HTTP et HTTPS standard pour le JVM. 

 sbt -Dhttp.proxyHost=proxy.example.com 
    -Dhttp.proxyPort=3218 
    -Dhttp.proxyUser=username 
    -Dhttp.proxyPassword=password 
    -DnoProxyHosts="localhost|http://www.google.com" 
    dependencyCheck

Développement

  • L'utilisateur et le mot de passe H2 DB par défaut peuvent être trouvés sur DependencyCheck.properties.
  • Pour mettre à jour le schéma DB ODC pour SBT Scripted Test Case purgeDeletesDatabase Run Query Update PUBLIC.PROPERTIES t SET t."VALUE"= '<NEW_VERSION_NUMBER>' WHERE t.ID = 'version'

Libérer

Exécutez la tâche release et suivez les instructions. Vérifiez que la libération a atteint Maven Central. Il faut jusqu'à deux heures supplémentaires pour être indexée pour https://search.maven.org.

Licence

Copyright (C) 2016-2022 Alexander Baron c. Buchholtz

Licencié sous la licence Apache, version 2.0 (la "licence"); Vous ne pouvez pas utiliser ce fichier sauf conforme à la licence. Vous pouvez obtenir une copie de la licence à

https://www.apache.org/licenses/license-2.0

Sauf exiger la loi applicable ou convenu par écrit, les logiciels distribués en vertu de la licence sont distribués sur une base «tel quel», sans garantie ou conditions d'aucune sorte, expresse ou implicite. Voir la licence pour la langue spécifique régissant les autorisations et les limitations sous la licence.

Développer
Informations supplémentaires
Applications connexes
Recommandé pour vous
Actualités connexes Tout