sbt dependency checkダウンロード-SBT sbt dependency checkソースコードのダウンロード

SBT依存のチェック

SBT依存のチェックプラグインにより、プロジェクトは、公開された脆弱性（CVEなど）について、従属ライブラリを監視できます。このプラグインは、他のビルドおよび継続的な統合システムといくつかの統合を提供するAwowasp DependencyCheckライブラリを使用することでこれを達成します。 OWASP DependencyCheckの仕組みとレポートの読み方の詳細については、プロジェクトのドキュメントを確認してください。

はじめる

SBT依存のチェックはオートプルギンです。 project/plugins.sbtファイルにプラグインを追加するだけです。

 addSbtPlugin("net.vonbuchholtz" % "sbt-dependency-check" % "5.1.0")

以前のバージョンがNVDフィードと互換性がないため、SBT依存のチェックv2.0.0以降を使用します。 SBT依存のチェックv3.0.0 SBT V0.13.Xから始まることはサポートされなくなりました。

使用法

タスク

タスク	説明	指示
DependencyCheck	現在のプロジェクト、その集合体、依存関係に対して依存関係チェックを実行し、各プロジェクトのレポートを生成します。	`$ sbt dependencyCheck`
依存関係チェックグレジェート	現在のプロジェクト、その集合体、依存関係に対して依存関係チェックを実行し、現在のプロジェクトの出力ディレクトリに単一のレポートを生成します。	`$ sbt dependencyCheckAggregate`
DependencyCheckanyProject	すべてのプロジェクト、集約、依存関係に対して依存関係チェックを実行し、現在のプロジェクトの出力ディレクトリに単一のレポートを生成します。	`$ sbt dependencyCheckAnyProject`
DependencyCheckupdateonly	NISTのNVDデータのローカルキャッシュを更新します。	`$ sbt dependencyCheckUpdateOnly`
DependencyCheckPurge	NVDのローカルコピーを削除します。これは、データの更新を強制するために使用されます。	`$ sbt dependencyCheckPurge`
DependencyCheckListsettings	プロジェクトのすべての設定とその値を印刷します。	`$ sbt dependencyCheckListSettings`

レポートは、デフォルトの場所crossTarget.valueに書き込まれます。これは、 dependencyCheckOutputDirectoryを設定することで上書きできます。詳細については、構成を参照してください。

注： NIST：https：//nvd.nist.govがホストするNational Ulnerability Database（NVD）の完全なデータはダウンロードしてデータベースにインポートする必要があるため、最初の実行にはしばらく時間がかかる場合があります。後の実行は、最後のアップデートが7日以上前にない限り、変更セットのみをダウンロードします。レートの制限のリスクを減らすために、ローカルネットワークにNVDフィードのミラーをセットアップすることをお勧めします。指示については、https：//github.com/stevespringett/nist-data-mirrorを参照してください。

構成

sbt-dependency-check OWASP依存関係チェックのデフォルト構成を使用します。 build.sbtファイルでそれらをオーバーライドできます。タスクdependencyCheckListSettingsを使用して、利用可能なすべての設定とその値をSBTコンソールに印刷します。

設定	説明	デフォルト値
DependencyCheckAutOupDate	NVD CVE/CPE、Retirejs、およびホスト抑制データの自動設定が有効かどうかを設定します。これを偽に変えることはお勧めしません。	真実
DependencyCheckCveValidForHours	NVDからの新しい更新を確認する前に、待機する時間数を設定します。	4
DependencyCheckFailBuildOncvss	指定されたレベルが識別されている場合、またはCVSSスコアを上回っている場合、または等しい場合にビルドを故障させるかどうかを指定します。デフォルトは11です。つまり、CVSSスコアは0-10であるため、デフォルトではビルドが失敗することはありません。 CVSSスコアの詳細については、NVDをご覧ください。	11.0
DependencyCheckJunitFailBuildOncvss	JUNITレポート形式を使用すると、依存関係Checkeckjunitfailoncvssは、障害と見なされるCVSSスコアしきい値を設定します。デフォルト値は0です - すべての脆弱性は障害と見なされます。	0
DependencyCheckFormat	生成されるレポート形式（HTML、XML、JUNIT、CSV、JSON、SARIF、JENKINS、ALL）。 DependenceCheckReportFormatsが設定されている場合、この設定は無視されます。	HTML
DependencyCheckformats	生成される一連のレポート形式（HTML、XML、JUNIT、CSV、JSON、SARIF、JENKINS、ALL）。
DependencyCheckOutputDirectory	レポートを書く場所。	`crossTarget.value` EG `./target/scala-2.11`
DependencyCheckscanset	スキャンの一部として分析する追加ファイルおよび/またはディレクトリを指定するオプションのファイル。指定されていない場合は、デフォルトで標準のSCALAコンベンションが行われます（詳細については、SBTドキュメントを参照してください）。	`/src/main/resources`
DependencyCheckskip	依存関係チェック分析をスキップします	間違い
DependencyCheckskiptestScope	テスト範囲のアーティファクトの分析をスキップします	真実
DependencyCheckskipruntimescope	ランタイムスコープのアーティファクトの分析をスキップします	間違い
DependencyCheckskipprovidedScope	提供された範囲のアーティファクトの分析をスキップします	間違い
DependencyCheckskipoptionalscope	オプションの範囲を持つアーティファクトの分析をスキップします	間違い
依存関係チェックサクプレッションファイル	XML抑制ファイルへのファイルパスのシーケンス - 誤検知を抑制するために使用されます。ファイルの構文の誤検知の抑制を参照してください。
DependencyCheckCPestArtswith	インポートする資格があるCPEを識別する開始文字列。
DependencyCheckhintsfile	XMLヒントファイルへのファイルパス - 偽ネグを解決するために使用されます。
DependencyCheckusesbtModuleidasgav	GAV識別子としてSBT ModuleIDを使用します。 Maven Centralがそうでない場合でも、GAVが利用可能であることを保証します。	間違い
DependencyCheckanalysistimeout	分析タイムアウトを分で設定します	20
DependencyCheckEnableExperimpal	実験的なアナライザーを有効にします。有効化されていない場合、実験分析装置（以下を参照）はロードまたは使用されません。	間違い
DependencyCheckEnableretired	廃止されたアナライザーを有効にします。有効になっていない場合、退職したアナライザーはロードまたは使用されません。	間違い

アナライザー構成

次のプロパティを使用して、さまざまなファイルタイプアナライザーを構成します。これらのプロパティを使用して、特定のアナライザーが不要な場合はオフにできます。特定のアナライザーがサポートするファイルが検出されない場合、特定のアナライザーは自動的に無効になることに注意してください。したがって、それらを具体的に無効にする必要がない場合があります。個々のアナライザーの詳細については、DependencyCheck Analyzerのドキュメントを参照してください。

設定	説明	デフォルト値
DependenceCheckarchiveAnalyzerEnabled	アーカイブアナライザーが使用されるかどうかを設定します。	真実
依存関係チェックZipextensions	zipファイルのように扱われる追加ファイル拡張機能のコンマ区切りリストは、内容が抽出されて分析されます。
DependencyCheckjaranalyzerEnabled	JARアナライザーが使用されるかどうかを設定します。	真実
DependencyCheckDartanalyzerEnabled	実験的なDARTアナライザーが有効かどうかを設定します。 `dependencyCheckEnableExperimental` 、trueに設定する必要があります。	真実
DependencyCheckKnownExploitedEnabled	既知の悪用された脆弱性の更新とアナライザーが有効かどうかを設定します。	真実
DependencyCheckKnownExploitedUrl	既知の既知の悪用された脆弱性JSONデータフィードにURLを設定します。	https://www.cisa.gov/sites/default/files/feeds/known_exploited_vulnerabilities.json
DependenceCheckKnownExploitedValidForHours	CISA既知の悪用された脆弱性JSONデータフィードの次のチェックが実行されるまで、間隔を時間で設定します。	24
DependencyChectRalAnalyzerEnabled	中央アナライザーが使用されるかどうかを設定します。このアナライザーが無効になっている場合は、Nexusアナライザーを無効にしたい可能性が高くなります（以下を参照）。	間違い
DependencyChectralAnalyzerusecache	中央の分析者が結果をキャッシュするかどうかを設定します。キャッシュされた結果は30日後に期限切れになります。	真実
DependencyCheCheckossIndexanalyzerEnabled	OSSインデックスアナライザーが有効になるかどうかを設定します。	真実
DependencyCheckossIndexanalyzerurl	Sonatype OSSインデックスサービスのURL。	https://ossindex.sonatype.org
DependencyCheckossIndexanalyzerusecache	OSSインデックスアナライザーが結果をキャッシュするかどうかを設定します。キャッシュされた結果は24時間後に期限切れになります。	真実
DependencyCheChecsOssIndexAnalyzerusername	Sonatype OSSインデックスサービスに使用するオプションのユーザー名。注：OSSインデックスを備えたアカウントは必要ありません。
DependencyCheckOssIndexAnalyzerPassword	Sonatype OSSインデックスサービスに使用するオプションのパスワード。
DependencyCheckOssIndexwarnonlyonRemoteerrors	OSSインデックスからのリモートエラー（たとえば、Gateway、Rate Limitを超える）からのリモートエラーが、実行に失敗する代わりにのみ警告につながるかどうかを設定します。	間違い
DependencyCheckNexusAnalyzerEnabled	Nexusアナライザーが使用されるかどうかを設定します。このアナライザーは、中央アナライザーに取って代わられます。ただし、Nexus Proのインストールに対して実行するようにこれを構成できます。	間違い
DependencyCheckNexusurl	Nexus ServerのWebサービスエンドポイント（例http：//domain.enterprise/service/local/）を定義します。設定しない場合、Nexusアナライザーは無効になります。	https://repository.sonatype.org/service/local/
DependencyCheckNexususesproxy	Nexusに接続するときに、定義されたプロキシを使用するかどうか。	真実
DependencyCheckNexuser	Nexus ServerのWebサービスエンドポイントに認証するユーザー名。設定していない場合、Nexusアナライザーは認可されていない接続を使用します。
DependencyCheckNexUspassWord	Nexus ServerのWebサービスエンドポイントに認証するパスワード。設定していない場合、Nexusアナライザーは認可されていない接続を使用します。
DependencyCheckpydistributionAnalyzerEnabled	実験的なPython Distribution Analyzerが使用されるかどうかを設定します。 `dependencyCheckEnableExperimental` 、trueに設定する必要があります。	真実
DependencyCheckPackageAnalyzerEnabled	実験的なPythonパッケージアナライザーが使用されるかどうかを設定します。 `dependencyCheckEnableExperimental` 、trueに設定する必要があります。	真実
DependencyCheckRubygemsanalyzerEnabled	実験的なRuby GEMSPECアナライザーが使用されるかどうかを設定します。 `dependencyCheckEnableExperimental` 、trueに設定する必要があります。	真実
DependencyCheckEckensSlanalyzerEnabled	OpenSSLアナライザーを使用するかどうかを設定します。 `dependencyCheckEnableExperimental` 、trueに設定する必要があります。	真実
DependencyCheckcmakeanalyzerEnabled	実験的なcmakeアナライザーを使用するかどうかを設定します。 `dependencyCheckEnableExperimental` 、trueに設定する必要があります。	真実
DependencyCheckautoconfanalyzeredabled	実験的なAutoCONFアナライザーを使用するかどうかを設定します。 `dependencyCheckEnableExperimental` 、trueに設定する必要があります。	真実
DependencyCheckMavenInStallAnalyzerEnabled	Mavenインストールアナライザーを使用するかどうかを設定します。	真実
DependencyCheckPipanalyzerEnabled	実験PIPアナライザーを使用するかどうかを設定します。 `dependencyCheckEnableExperimental` 、trueに設定する必要があります。	真実
DependencyCheckPipFileAnalyzerEnabled	実験的なPIPFILEアナライザーを使用する必要があるかどうかを設定する`dependencyCheckEnableExperimental`あるエクスペリメンタルをtrueに設定する必要があります。	真実
DependencyCheckPoetryAnalyzerEnabled	実験的な詩アナライザーを使用する必要があるかどうかを設定する`dependencyCheckEnableExperimental`あるエクスペリメンタルを真に設定する必要があります。	真実
DependencyCheckComposerAnalyzerEnabled	実験的なPHP Composerロックファイルアナライザーを使用するかどうかを設定します。 `dependencyCheckEnableExperimental` 、trueに設定する必要があります。	真実
DependencyCheckCCPANFILEANALYZERENABLED	実験的なPerl CPANファイルアナライザーを使用するかどうかを設定します。 `dependencyCheckEnableExperimental` 、trueに設定する必要があります。	真実
DependencyCheckNodeAnalyzerEnabled	廃止されたnode.jsアナライザーを使用するかどうかを設定します。	間違い
DependencyCheckNodePackagesKipDevDependencies	node.jsアナライザーが開発者依存関係をスキップするかどうかを設定します。	間違い
DependencyCheckNodeauditanalyzerEnabled	ノード監査アナライザーを使用するかどうかを設定します。	真実
DependencyCheckNodeAuditskipdevdevencies	ノード監査アナライザーが開発者依存関係をスキップするかどうかを設定します。	間違い
DependencyChecknodeauditanalyzerurl	ノード監査アナライザーのノード監査API URLを設定します。設定されていない場合は、デフォルトのURLを使用します。	https://registry.npmjs.org/-/npm/v1/security/audits
DependencyChecknodeauditanalyzerusecache	ノード監査アナライザーが結果をキャッシュするかどうかを設定します。キャッシュされた結果は24時間後に期限切れになります。	真実
DependenceChecknpmcpeanalyzerEnabled	実験的なNPM CPEアナライザーを使用するかどうかを設定します。 `dependencyCheckEnableExperimental` 、trueに設定する必要があります。	真実
DependencyCheckyarnauditanalyzeredabled	YARN監査アナライザーを使用するかどうかを設定します。このアナライザーには、糸とインターネット接続が必要です。 `dependencyCheckNodeAuditSkipDevDependencies`を使用して、開発者の依存関係をスキップします。	真実
DependencyCheckpathtoyarn	ヤーン実行可能ファイルへのパスを設定します。
DependencyCheckpnpmauditanalyzeredabled	PNPM監査アナライザーが有効かどうかを設定します。このアナライザーには、PNPMとインターネット接続が必要です。 `nodeAuditSkipDevDependencies`を使用して、開発者の依存関係をスキップします。	真実
DependencyCheckPathTopnpm	`pnpm`実行可能ファイルへのパスを設定します。
DependencyChecknuspecanalyzerEnabled	.NET Nuget Nuspecアナライザーが使用されるかどうかを設定します。	真実
DependencyChecknugetConfanalyzerEnabled	Experimental .Net Nuget Packages.configアナライザーが使用されるかどうかを設定します。 `dependencyCheckEnableExperimental` 、trueに設定する必要があります。	間違い
DependencyCheckCocoApoDSENABLED	実験的なココアポッドアナライザーを使用するかどうかを設定します。 `dependencyCheckEnableExperimental` 、trueに設定する必要があります。	真実
DependencyCheckMixAuditAnalyzerEnabled	実験的なミックス監査アナライザーを使用するかどうかを設定します。 `dependencyCheckEnableExperimental` 、trueに設定する必要があります。	火
DependencyCheckMixAuditPath	mix_audit実行可能ファイルへのパスを設定します。ミックス監査アナライザーが有効になり、実験的なアナライザーが有効になっている場合にのみ使用されます。
DependencyChecksWiftEnabled	実験的なSwiftパッケージマネージャーアナライザーを使用するかどうかを設定します。 `dependencyCheckEnableExperimental` 、trueに設定する必要があります。	真実
dependencycheckswiftpackageresolvedanalyzeredabled	実験的なSwiftパッケージ解決アナライザーを使用するかどうかを設定します。 `dependencyCheckEnableExperimental` 、trueに設定する必要があります。	真実
DependencyCheckBundleAuditEnabled	実験的なルビーバンドル監査アナライザーを使用するかどうかを設定します。 `dependencyCheckEnableExperimental` 、trueに設定する必要があります。	真実
DependencyCheckPathToBundleaudit	Ruby Bundle監査へのパス。
DependencyCheckbundleauditworkingdirectory	Ruby Bundle Auditバイナリを実行する必要がある作業ディレクトリのパスを設定します。
DependencyCheckEcaseMblyAnalyzerEnabled	.NETアセンブリアナライザーを使用するかどうかを設定します。	真実
DependencyCheckMSBUILDANALYZERENABLED	MSBUILDアナライザーを使用するかどうかを設定します。	真実
DependencyCheckPathToDotNetCore	非ワインドシステムの.NETアセンブリ分析の.NETコアへのパス。
DependencyCheckPeanalyzerEnabled	DLLファイルとEXEファイルのPEヘッダーを読み取る実験的なPEアナライザーを使用する必要があるかどうかを設定します。 `dependencyCheckEnableExperimental` 、trueに設定する必要があります。	真実
DependencyCheckretirejsanalyzerEnabled	Retirejsアナライザーを使用するかどうかを設定します。	真実
DependencyCheckretirejsforceUpdate	retirejsアナライザーが「dependencycheckautoupdate」設定に関係なく更新するかどうかを設定します。	真実
Dependencycheckretirejsanalyzerrepojsurl	URLをRetirejsリポジトリに設定します。注ファイル名は`jsrepository.json`でなければなりません	https://raw.githubusercontent.com/retirejs/retire.js/master/repository/jsrepository.json
DependencyCheckretirejsanalyzerrepouser	Retirejs URLに接続するための認証のユーザー名。
DependencyCheckretirejsanalyzerrepopassword	Retirejs URLに接続するための認証のパスワード。
DependencyCheckretirejsanalyzerrepovalidfor	CVEの次のチェックがRetirejsアナライザーによって実行されるまで、間隔を時間に設定します	24
DependencyCheckretirejsanalyzerfilters	Retirejsアナライザーに1つ以上のフィルターを設定します。
DependencyCheckretirejsanalyzerfilternonvulnerable	Retirejsアナライザーが非妨害依存関係をフィルタリングするかどうかを設定します	間違い
依存関係CheckEckartifactoryAnalyzerEnabled	JFrogのアーティファクトアナライザーが使用されるかどうかを設定します	間違い
依存関係CheckEckartifactoryAnalyzerurl	Artifactory Server URL。
依存関係チェック能力型	Artifactoryにプロキシを介してアクセスするかどうかを設定します。	間違い
依存関係チェック能力型ヨーリゼルパラレラル分析	Artifactory Analyzerを並行して実行するかどうかを設定します。	真実
依存関係CheckEckartifactoryAnalyzerusersername	ユーザー名（APIトークンでのみ使用）して、Artifactoryインスタンスに接続します。
依存症の依存症の依存性アナリゼラピトケン	APIトークンは、Artifactoryインスタンスに接続します。注：これらの設定は、local `build.sbt`ファイルに追加されず、セキュリティ上の理由でコードリポジトリにコミットしないでください。代わりに`~/.sbt/<version>/global.sbt`ファイルに追加できます
依存症の依存症の依存性アナリゼルベアラート	ベアラートークンは、アーティファクトのインスタンスに接続します。注：これらの設定は、local `build.sbt`ファイルに追加されず、セキュリティ上の理由でコードリポジトリにコミットしないでください。代わりに`~/.sbt/<version>/global.sbt`ファイルに追加できます
dependencycheckgolangdepenabled	実験的なGolang依存関係アナライザーを使用するかどうかを設定します。 `dependencyCheckEnableExperimental` 、trueに設定する必要があります。	真実
DependencyCheckGolangModenabled	実験的なGolangモジュールアナライザーを使用するかどうかを設定します。インストールする必要`go`あります。 `dependencyCheckEnableExperimental` 、trueに設定する必要があります。	真実
DependencyCheckPathtogo	「Go」ランタイムへのパス。

高度な構成

次のプロパティは、プラグインで構成できます。ただし、それらはあまり頻繁に変更されていません。 1つの例外は、エンタープライズ環境内のNVDのミラーをホストするために使用できるCvedurlプロパティです。

設定	説明	デフォルト値
DependencyCheckCveurlModified	変更されたCVE JSONデータフィード用のURL。 NVDをミラーリングするときは、 .json.gzと .metaファイルをミラーリングする必要があります。オプションカスタム`dependencyCheckCveUrlBase`名が単なるドメイン名の変更である場合。	https://nvd.nist.gov/feeds/json/cve/1.1/nvdcve-1.1-modified.json.gz
DependencyCheckcveurlbase	各年のCVE JSONデータフィードのベースURL、％Dは年に置き換えられます。	https://nvd.nist.gov/feeds/json/cve/1.1/nvdcve-1.1-%D.json.gz
DependencyCheckCveuser	`dependencyCheckCveUrlBase`に接続するときに使用されるユーザー名。
DependencyCheckCvePassWord	`dependencyCheckCveUrlBase`に接続するときに使用されるパスワード。
DependencyCheckCveWaittime	NVDからのダウンロードの間に1ミリ秒単位で待つ時間。	4000
DependencyCheckCevestartyear	NVDからダウンロードするNVD CVEデータの最初の年。	2002年
DependencyCheckConnectionTimeout	外部データをダウンロードするときに使用されるURL接続タイムアウト（ミリ秒単位）を設定します。
DependencyCheckConnectionReadTimeout	外部データをダウンロードするときに使用されるURL読み取りタイムアウト（ミリ秒単位）を設定します。
DependencyCheckDataDirectory	SQL CVEの内容を保持するようにデータディレクトリを設定します。これは通常、変更されるべきではありません。	[jar] データ
DependencyCheckDatabasedRivername	データベースドライバーの名前。例：org.H2.Driver。	org.h2.Driver
DependencyCheckDatabasedRiverPath	データベースドライバーJARファイルへのパス。ドライバーがクラスパスにない場合にのみ使用されます。
依存関係チェックコネクションストリング	データベースに接続するために使用される接続文字列、％sはデータベースの名前に置き換えられます	jdbc：h2：file：％s; autocommit = on; mv_store = false;
DependencyCheckDataBaseuser	データベースに接続するときに使用されるユーザー名。	dcuser
DependencyCheckDatabasePassword	データベースに接続するときに使用されるパスワード。
DependencyCheckHostedSuppressionsEnabled	ホストされた抑制ファイルが使用されるかどうか。	真実
DependencyCheckHostedSuppressionsforceUpdate	HOSTED SUPTRESSIONSファイルが`dependencyCheckAutoUpdate`設定に関係なく更新されるかどうか。	間違い
DependencyCheckHostedSuppressionsurl	インターネット制約の環境用のホストされた抑制ファイルのミラー化されたコピーへのURL。	https://jeremylong.github.io/dependencycheck/suppressions/publishedsuppressions.xml
DependencyCheckHostedSuppressionsValidForHours	NVDからの新しい更新を確認する前に、待機する時間数を設定します。	2

マルチプロジェクトのセットアップ

すべてのプロジェクトの設定を定義する場合は、 GlobalまたはThisBuildスコープのいずれかを使用してください。特定のプロジェクトのデフォルトまたはグローバル/ThisBuild設定から分岐する場合は、プロジェクトレベルで定義します。

build.sbt

 Global / dependencyCheckFormats := Seq ( " HTML " , " JSON " )

lazy val root = (project in file( " . " ))
  .aggregate(core)
  .settings(
	libraryDependencies += " com.github.t3hnar " %% " scala-bcrypt " % " 2.6 " % " test " ,
	dependencyCheckSkipTestScope := false
  )

lazy val util = (project in file( " util " ))
  .settings(
    libraryDependencies += " commons-beanutils " % " commons-beanutils " % " 1.9.1 "
  )

lazy val core = project.dependsOn(util)
  .settings(
    libraryDependencies += " org.apache.commons " % " commons-collections4 " % " 4.1 " % " runtime " ,
    dependencyCheckSkip := true
  )

ほとんどすべての設定は、個々のサブプロジェクトごとではなく、タスクを実行しているプロジェクトに対してのみ評価されます。 aggregate()およびdependsOn()プロジェクトで機能するようにサポートされている免除は、スコープスキップ設定です。

dependencyCheckSkip
dependencyCheckSkipTestScope
dependencyCheckSkipRuntimeScope
dependencyCheckSkipProvidedScope
dependencyCheckSkipOptionalScope

必要に応じて、各プロジェクトに対してこれらを個別に設定する必要があります。

ログレベルの変更

以下をbuild.sbtファイルに追加して、デフォルトinfoからEG debugにログレベルを上げます。

 logLevel in dependencyCheck := Level.Debug

そして、チェックを実行するときに-Dlog4j2.level=debugを追加します：

 sbt -Dlog4j2.level=debug dependencyCheck

dependencyCheckプロジェクトに使用する適切なタスク名に置き換えます。

グローバルプラグイン構成

すべてのSBTプロジェクトにデフォルトの構成を適用する場合は、グローバル設定として追加できます。

プラグインを~/.sbt/1.0/plugins/sbt-dependency-check.sbtに追加します

addSbtPlugin( " net.vonbuchholtz " % " sbt-dependency-check " % " 5.1.0 " )

~/.sbt/1.0/global.sbtに設定を追加します（パッケージとネストされたオブジェクト構造を含む）。例えば
```
net.vonbuchholtz.sbt.dependencycheck. DependencyCheckPlugin .autoImport.dependencyCheckFormat := " All "
```

グローバル設定とプラグインの詳細については、SBTドキュメントを確認してください：https：//www.scala-sbt.org/1.x/docs/global-settings.html

プロキシの後ろに走っています

SBTとsbt-dependency-check 、JVMの標準HTTPおよびHTTPSプロキシ設定を称えます。

 sbt -Dhttp.proxyHost=proxy.example.com 
    -Dhttp.proxyPort=3218 
    -Dhttp.proxyUser=username 
    -Dhttp.proxyPassword=password 
    -DnoProxyHosts="localhost|http://www.google.com" 
    dependencyCheck

発達

デフォルトのH2 DBユーザーとパスワードは、DependenceCheck.Propertiesで見つけることができます。
SBTスクリプト化されたテストケースpurgeDeletesDatabaseの実行Query Update PUBLIC.PROPERTIES t SET t."VALUE"= '<NEW_VERSION_NUMBER>' WHERE t.ID = 'version'