sbt dependency check
v5.1.0
SBT 의존성 확인 플러그인을 사용하면 프로젝트를 통해 알려진 게시 된 취약점 (예 : CVE)의 종속 라이브러리를 모니터링 할 수 있습니다. 플러그인은 이미 다른 빌드 및 연속 통합 시스템과 몇 가지 통합을 제공하는 멋진 OWASP 의존성 체크 라이브러리를 사용하여이를 달성합니다. OWASP 종속성 검사의 작동 방식과 보고서를 읽는 방법에 대한 자세한 내용은 프로젝트의 문서를 확인하십시오.
SBT 의존성-점검은 자동 플러그 핀입니다. project/plugins.sbt 파일에 플러그인을 추가하기 만하면됩니다.
addSbtPlugin("net.vonbuchholtz" % "sbt-dependency-check" % "5.1.0")
이전 버전이 더 이상 NVD 피드와 호환되지 않으므로 SBT 의존성 검시량 v2.0.0 이상을 사용하십시오. SBT 의존성 확인 v3.0.0 SBT V0.13.x부터 더 이상 지원되지 않습니다.
| 일 | 설명 | 명령 |
|---|---|---|
| 의존성 검사 | 현재 프로젝트, 집계 및 종속성에 대한 종속성 검시를 실행하고 각 프로젝트에 대한 보고서를 생성합니다. | $ sbt dependencyCheck |
| 종속성 체크 잡기 | 현재 프로젝트, 집계 및 종속성에 대한 종속성 검시를 실행하고 현재 프로젝트의 출력 디렉토리에서 단일 보고서를 생성합니다. | $ sbt dependencyCheckAggregate |
| 의존성 체크 카니 프로젝트 | 모든 프로젝트, 집계 및 종속성에 대해 종속성 검시를 실행하고 현재 프로젝트의 출력 디렉토리에서 단일 보고서를 생성합니다. | $ sbt dependencyCheckAnyProject |
| 종속성 체크 커플 테일 | NIST에서 NVD 데이터의 로컬 캐시를 업데이트합니다. | $ sbt dependencyCheckUpdateOnly |
| 의존성 체크 파지 | NVD의 로컬 사본을 삭제합니다. 이것은 데이터의 새로 고침을 강요하는 데 사용됩니다. | $ sbt dependencyCheckPurge |
| 종속성 체크리스트 셋팅 | 프로젝트의 모든 설정과 그 값을 인쇄합니다. | $ sbt dependencyCheckListSettings |
보고서는 기본 위치 crossTarget.value 에 기록됩니다. 이는 dependencyCheckOutputDirectory 를 설정하여 덮어 쓸 수 있습니다. 자세한 내용은 구성을 참조하십시오.
참고 : 첫 번째 실행은 NIST가 호스팅 한 NVD (National Vilnerability Database)의 전체 데이터가 https://nvd.nist.gov를 데이터베이스로 다운로드하여 가져와야함에 따라 시간이 걸릴 수 있습니다. 마지막 업데이트가 7 일 전이 아닌 한 나중에 실행은 변경 세트 만 다운로드합니다. 속도 제한 위험을 줄이기 위해 로컬 네트워크에 NVD 피드의 거울을 설정하는 것이 좋습니다. 지침은 https://github.com/stevespringett/nist-data-mirror를 참조하십시오.
sbt-dependency-check OWASP 종속성 체크의 기본 구성을 사용합니다. build.sbt 파일에서 그것들을 무시할 수 있습니다. 작업 dependencyCheckListSettings 세트를 사용하여 사용 가능한 모든 설정과 해당 값을 SBT 콘솔에 인쇄하십시오.
| 환경 | 설명 | 기본값 |
|---|---|---|
| 종속성 체크 카우 쿠 데이트 | NVD CVE/CPE의 자동 업데이트, retirejs 및 호스팅 억제 데이터가 활성화되어 있는지 여부를 설정합니다. 이것이 거짓으로 바뀌는 것이 좋습니다. | 진실 |
| 종속성 체크 큐브 validforhours | NVD에서 새 업데이트를 확인하기 전에 기다릴 시간 수를 설정합니다. | 4 |
| 종속성 체크 페일 부드론 VSS | 위의 CVSS가 점수를 매기거나 지정된 레벨이 식별되는 경우 빌드에 실패 해야하는지 지정합니다. 기본값은 11이므로 CVSS 점수가 0-10이므로 기본적으로 빌드는 실패하지 않습니다. CVSS 점수에 대한 자세한 내용은 NVD에서 확인할 수 있습니다. | 11.0 |
| 종속성 체크 주니트 파일 부드 론 VSS | JUNIT 보고서 형식을 사용하는 경우 종속성 체크 주니트 파일론 VSS는 실패로 간주되는 CVSS 점수 임계 값을 설정합니다. 기본값은 0입니다. 모든 취약점은 실패로 간주됩니다. | 0 |
| 의존성 체크 포르 랏 | 생성 될 보고서 형식 (HTML, XML, Junit, CSV, JSON, SARIF, JENKINS, ALL). 이 설정은 종속성 체크 리포트 형식이 설정된 경우 무시됩니다. | HTML |
| 의존성 체크 포르 랏 | 생성 될 일련의 보고서 형식 (HTML, XML, Junit, CSV, JSON, SARIF, JENKINS, ALL). | |
| 종속성 체크 아웃 푸트 디렉토리 | 보고서 작성 위치. | crossTarget.value 예를 들어 ./target/scala-2.11 |
| 종속성 체크 스케인 세트 | 스캔의 일부로 분석 할 추가 파일 및/또는 디렉토리를 지정하는 선택적인 파일 시퀀스. 지정되지 않은 경우 표준 스칼라 컨벤션에 대한 기본값 (자세한 내용은 SBT 문서 참조). | /src/main/resources |
| 의존성 체크 스키프 | 종속성 검시 분석을 건너 뜁니다 | 거짓 |
| 종속성 체크 스크립스 테스트 스코프 | 테스트 범위를 사용한 아티팩트에 대한 분석 | 진실 |
| 종속성 체크 스키프 런트 스코프 | 런타임 범위를 가진 아티팩트에 대한 분석 | 거짓 |
| 종속성 체크 스키프로드 스코프 | 제공된 범위로 아티팩트에 대한 분석을 건너칩니다 | 거짓 |
| 종속성 체크 스키 옵션 스코프 | 선택적 범위를 가진 아티팩트에 대한 분석을 건너 뜁니다 | 거짓 |
| 의존성 체크 스uppressionFiles | XML 억제 파일에 대한 파일 경로 순서 - 오 탐지를 억제하는 데 사용됩니다. 파일 구문에 대한 잘못된 양성 억제를 참조하십시오. | |
| 종속성 체크 커피 스테트 | 시작 문자열은 가져올 자격이있는 CPE를 식별합니다. | |
| 종속성 체크 킨트 파일 | XML에 대한 파일 경로는 False Negatives를 해결하는 데 사용되는 파일을 힌트합니다. | |
| 종속성 체크 쿠스 스트moduleIDASGAV | SBT ModuleID를 GAV 식별자로 사용하십시오. Maven Central이 아닌 경우에도 GAV를 사용할 수 있도록합니다. | 거짓 |
| 의존성 체크 카나 널리 스티 시트 | 분석 시간 초과를 몇 분 안에 설정하십시오 | 20 |
| 의존성 체크 켄 가능성 | 실험 분석기를 활성화하십시오. 활성화되지 않은 경우 실험 분석기 (아래 참조)가로드되거나 사용되지 않습니다. | 거짓 |
| 종속성 체크 켄 블러가 있습니다 | 은퇴 한 분석기를 활성화하십시오. 활성화되지 않은 경우 퇴직 한 분석기가로드되거나 사용되지 않습니다. | 거짓 |
다음 속성은 다양한 파일 유형 분석기를 구성하는 데 사용됩니다. 이러한 속성은 필요한 경우 특정 분석기를 끄는 데 사용될 수 있습니다. 지원하는 파일 유형이 감지되지 않으면 특정 분석기가 자동으로 비활성화되므로 구체적으로 비활성화 할 필요가 없습니다. 개별 분석기에 대한 자세한 내용은 종속성 검사 분석기 문서를 참조하십시오.
| 환경 | 설명 | 기본값 |
|---|---|---|
| 의존성 CheckarchiveAnalyzerenabled | 아카이브 분석기 사용 여부를 설정합니다. | 진실 |
| 의존성 체크 지프 텍스트 | ZIP 파일처럼 취급 할 추가 파일 확장 목록을 구분하면 내용을 추출하고 분석합니다. | |
| 의존성 체크 자라 니저 렌즈 | JAR 분석기가 사용되는지 여부를 설정합니다. | 진실 |
| 의존성 체크 다탄 균형 | 실험 다트 분석기가 활성화되어 있는지 여부를 설정합니다. dependencyCheckEnableExperimental true로 설정되어야합니다. | 진실 |
| 의존성 체크 알려진 이용성 | 알려진 악용 취약성 업데이트 및 분석기가 활성화되어 있는지 여부를 설정합니다. | 진실 |
| 종속성 체크 알려진 외환 | URL을 CISA로 알려진 악용 취약성 JSON 데이터 피드로 설정합니다. | https://www.cisa.gov/sites/default/files/feeds/known_exploited_vulnerabilities.json |
| 종속성 체크 알려진 외환 ValidForhours | CISA 알려진 악용 취약성 JSON 데이터 피드에 대한 다음 점검이 수행 될 때까지 간격을 설정하십시오. | 24 |
| 의존성 체크 중앙값 | 중앙 분석기 사용 여부를 설정합니다. 이 분석기가 비활성화 된 경우 Nexus 분석기를 비활성화 할 가능성이 높습니다 (아래 참조). | 거짓 |
| 의존성 체크 중앙 란 널로 흡기 | 중앙 분석기가 결과를 캐시할지 여부를 설정합니다. 캐시 결과는 30 일 후에 만료됩니다. | 진실 |
| 의존성 체크 코스 산 옥산화 유전성 | OSS 인덱스 분석기가 활성화 될지 여부를 설정합니다. | 진실 |
| 의존성 체크 코스 산 옥산 아닐 균 | 소나 타입 OSS 인덱스 서비스의 URL. | https://ossindex.sonatype.org |
| 의존성 체크 코스 산 옥산 균사체 | OSS 인덱스 분석기가 결과를 캐시할지 여부를 설정합니다. 캐시 결과는 24 시간 후에 만료됩니다. | 진실 |
| 의존성 체크 코스 산 옥산 균사체 이름 | Sonatype OSS 인덱스 서비스에 사용할 선택적 사용자 이름. 참고 : OSS 지수가있는 계정은 필요하지 않습니다. | |
| 의존성 체크 코스 산 옥산 아나 zerpassword | Sonatype OSS 인덱스 서비스에 사용할 옵션 비밀번호. | |
| 종속성 체크 코스 사인 덱스 와너 론 리노 레지 테러 | OSS 지수의 원격 오류 (예 : 잘못된 게이트웨이, 요율 제한을 초과 함)의 원격 오류는 실행 실패 대신에만 경고를 초래할 것인지를 설정합니다. | 거짓 |
| 의존성 체크 넥 서사시 젠더 | Nexus Analyzer가 사용되는지 여부를 설정합니다. 이 분석기는 중앙 분석기에 의해 대체됩니다. 그러나 Nexus Pro 설치에 대해이를 실행하도록 구성 할 수 있습니다. | 거짓 |
| 의존성 체크 넥스 서어 | Nexus Server의 웹 서비스 엔드 포인트 (예제 http : //domain.enterprise/service/local/)를 정의합니다. 설정하지 않으면 Nexus 분석기가 비활성화됩니다. | https://repository.sonatype.org/service/local/ |
| 의존성 체크 넥서스 스 프록시 | Nexus에 연결할 때 정의 된 프록시를 사용해야하는지 여부. | 진실 |
| 의존성 체크 넥스 서구저 | Nexus Server의 웹 서비스 엔드 포인트에 인증하는 사용자 이름입니다. 설정되지 않으면 Nexus 분석기는 무단 연결을 사용합니다. | |
| 의존성 체크 넥스 파더 스포드 | Nexus Server의 웹 서비스 엔드 포인트로 인증하는 비밀번호. 설정되지 않으면 Nexus 분석기는 무단 연결을 사용합니다. | |
| 종속성 체크피 디포트안 anyzerenabled | 실험 파이썬 분포 분석기가 사용되는지 여부를 설정합니다. dependencyCheckEnableExperimental true로 설정되어야합니다. | 진실 |
| 의존성 체크 파피 웨인 아일체 렌터드 | 실험 파이썬 패키지 분석기가 사용되는지 여부를 설정합니다. dependencyCheckEnableExperimental true로 설정되어야합니다. | 진실 |
| 의존성 체크 크루 지 막사 니저 렌더블 | 실험 Ruby Gemspec 분석기가 사용되는지 여부를 설정합니다. dependencyCheckEnableExperimental true로 설정되어야합니다. | 진실 |
| 의존성 체크 쿠펜스 슬랜 균형 | OpenSSL 분석기를 사용해야하는지 여부를 설정합니다. dependencyCheckEnableExperimental true로 설정되어야합니다. | 진실 |
| 의존성 체크 카키 앤 알레 젠버이션 | 실험 CMAKE 분석기를 사용해야하는지 여부를 설정합니다. dependencyCheckEnableExperimental true로 설정되어야합니다. | 진실 |
| 의존성 체크 카우 컨테이 니저 렌즈 | 실험 오토 콘프 분석기를 사용해야하는지 여부를 설정합니다. dependencyCheckEnableExperimental true로 설정되어야합니다. | 진실 |
| 의존성 체크 메이 닌스트 란 알리 젠더 | Maven 설치 분석기를 사용해야하는지 여부를 설정합니다. | 진실 |
| 의존성 체크 피파 니제 렌원성 | 실험 PIP 분석기를 사용해야하는지 여부를 설정합니다. dependencyCheckEnableExperimental true로 설정되어야합니다. | 진실 |
| 의존성 체크 파일 리아 젠더 | 실험적 PIPFILE 분석기를 사용해야하는지 dependencyCheckEnableExperimental 를 설정해야합니다. | 진실 |
| 의존성 체크 포치 anycerenabled | 실험시 분석기를 사용해야하는지 dependencyCheckEnableExperimental 를 설정해야합니다. | 진실 |
| 의존성 체크 포지티브란 균형 | 실험적인 PHP Composer Lock 파일 분석기를 사용해야하는지 여부를 설정합니다. dependencyCheckEnableExperimental true로 설정되어야합니다. | 진실 |
| 의존성 체크 크스 파일 리아 젠더 | 실험용 PERL CPAN 파일 분석기를 사용해야하는지 여부를 설정합니다. dependencyCheckEnableExperimental true로 설정되어야합니다. | 진실 |
| 의존성 체크 노드 알레 젠버이션 | 은퇴 한 node.js 분석기를 사용해야하는지 여부를 설정합니다. | 거짓 |
| 종속성 체크 네드 - 오페지 스키프 드 의식 | Node.js 분석기가 DevDependencies를 건너 뛸지 여부를 설정합니다. | 거짓 |
| 의존성 체크 노드 아우 디타 니저 렌치 | 노드 감사 분석기를 사용해야하는지 여부를 설정합니다. | 진실 |
| 종속성 체크 노드 아우 디트 스티프 드 의존성 | 노드 감사 분석기가 DevDependencies를 건너 뛸지 여부를 설정합니다. | 거짓 |
| 의존성 체크 노드 아우 디타 알리 체로 릴 | 노드 감사 분석기의 Node Audit API URL을 설정합니다. 설정되지 않은 경우 기본 URL을 사용합니다. | https://registry.npmjs.org/-/npm/v1/security/audits |
| 의존성 체크 컨디디 디타 닐리 저 케시 | 노드 감사 분석기가 결과를 캐시할지 여부를 설정합니다. 캐시 결과는 24 시간 후에 만료됩니다. | 진실 |
| 의존성 체크인 PMCPEANALYZERENABLED | 실험 NPM CPE 분석기를 사용해야하는지 여부를 설정합니다. dependencyCheckEnableExperimental true로 설정되어야합니다. | 진실 |
| 의존성 Checkyarnauditanalyzerenabled | 원사 감사 분석기를 사용해야하는지 여부를 설정합니다. 이 분석기에는 원사와 인터넷 연결이 필요합니다. Dev 종속성을 건너 뛰기 위해 dependencyCheckNodeAuditSkipDevDependencies 의존성을 사용하십시오. | 진실 |
| 의존성 체크 펠트 토이 | 원사 실행 파일로의 경로를 설정합니다. | |
| 의존성 체크 폰프 메이 디타 니저 렌지션 | PNPM 감사 분석기가 활성화되어 있는지 여부를 설정합니다. 이 분석기에는 PNPM과 인터넷 연결이 필요합니다. nodeAuditSkipDevDependencies 사용하여 Dev 종속성을 건너 뛰십시오. | 진실 |
| 종속성 체크 팻 토프 미 | pnpm 실행 파일로의 경로를 설정합니다. | |
| 의존성 체크 니스 칸리아 균형 | .NET NUGET NUSPEC 분석기가 사용되는지 여부를 설정합니다. | 진실 |
| 의존성 체크 니지 콩과 파일 균형 | 실험적 .NET NUGET 패키지를 설정합니다. Config Analyzer가 사용될 것인지를 설정합니다. dependencyCheckEnableExperimental true로 설정되어야합니다. | 거짓 |
| 종속성 체크 코코 아포 포드 가용성 | 실험적인 코코 포드 분석기를 사용해야하는지 여부를 설정합니다. dependencyCheckEnableExperimental true로 설정되어야합니다. | 진실 |
| 의존성 체크 미크 쿼디 타일 균형 | 실험 믹스 감사 분석기를 사용해야하는지 여부를 설정합니다. dependencyCheckEnableExperimental true로 설정되어야합니다. | tue |
| 종속성 체크 미크 쿼트 경로 | Mix_Audit 실행 파일로의 경로를 설정합니다. 믹스 감사 분석기가 활성화되고 실험 분석기가 활성화 된 경우에만 사용됩니다. | |
| 종속성 체크 위임 | 실험적 스위프트 패키지 관리자 분석기를 사용해야하는지 여부를 설정합니다. dependencyCheckEnableExperimental true로 설정되어야합니다. | 진실 |
| 의존성 체크 스위프트 PackagerEsolvedanalyzerenabled | 실험적 스위프트 패키지 해결 분석기를 사용해야하는지 여부를 설정합니다. dependencyCheckEnableExperimental true로 설정되어야합니다. | 진실 |
| 종속성 체크 펀드 리아디티블 가능성 | 실험 루비 번들 감사 분석기를 사용해야하는지 여부를 설정합니다. dependencyCheckEnableExperimental true로 설정되어야합니다. | 진실 |
| 종속성 체크 팟 션트 토 펀드 리이트 | 루비 번들 감사 경로. | |
| 종속성 체크 펀드 eauditWorkingDirectory | Ruby 번들 감사 바이너리를 실행 해야하는 작업 디렉토리의 경로를 설정합니다. | |
| 종속성 체크 족장 분석 | .NET 어셈블리 분석기를 사용해야하는지 여부를 설정합니다. | 진실 |
| 의존성 체크 스보일 란드 런칭 가능성 | MSBuild 분석기를 사용해야하는지 여부를 설정합니다. | 진실 |
| 종속성 체크 팟 션트 네트 네트 코어 | 비 독사 시스템의 .NET 어셈블리 분석을위한 .NET 코어 경로. | |
| 의존성 체크 피부 니저 렌터드 | DLL 및 EXE 파일의 PE 헤더를 읽는 실험 PE 분석기를 사용해야하는지 여부를 설정합니다. dependencyCheckEnableExperimental true로 설정되어야합니다. | 진실 |
| 의존성 체크 레티어 jsanalyzerenabled | retirejs 분석기를 사용해야하는지 여부를 설정합니다. | 진실 |
| 종속성 체크 크레 티어 jsforceupdate | RetireJS 분석기가 "dependencycheckaUtoupDate’설정에 관계없이 업데이트되어야하는지 여부를 설정합니다. | 진실 |
| 종속성 체크 레티어 jsanalyzerrepojsurl | retirejs 저장소로 URL을 설정하십시오. 참고 파일 이름은 jsrepository.json 이어야합니다 | https://raw.githubusercontent.com/retirejs/retire.js/master/repository/jsrepository.json |
| 종속성 체크 크레 티어 jsanalyzerRepouser | retirejs url에 연결하기위한 인증의 사용자 이름. | |
| 종속성 체크 레티어 jsanalyzerrepopassword | retirejs url에 연결하기위한 인증의 비밀번호. | |
| 의존성 체크 레티어 jsanalyzerRepovalidfor | CVES 업데이트를 다음 점검 할 때까지 간격을 retirejs 분석기에서 수행 할 때까지 간격을 설정하십시오. | 24 |
| 의존성 체크 레티어 jsanalyzerfilters | retirejs 분석기를 위해 하나 이상의 필터를 설정하십시오. | |
| 종속성 체크 레티어 jsanalyzerfilternvulnerbulnerable | retirejs 분석기가 무시 무시할 수없는 종속성을 필터링 해야하는지 여부를 설정합니다. | 거짓 |
| 의존성 Checkartifactoryanalyzerenabled | JFROG 인공물 분석기가 사용되는지 여부를 설정합니다. | 거짓 |
| 의존성 Checkartifactoryanalyzerurl | 아티팩터 서버 URL. | |
| 의존성 Checkartifactoryanalyzeruseproxy | 인공물에 프록시를 통해 액세스 해야하는지 여부를 설정합니다. | 거짓 |
| 의존성 CheckartifactoryanalyzerparalLelanalysis | 인공 분석기를 병렬로 실행 해야하는지 여부를 설정합니다. | 진실 |
| 의존성 Checkartifactoryanalyzerusername | 인공 인스턴스에 연결하기 위해 사용자 이름 (API 토큰으로 만 사용). | |
| 의존성 Checkartifactoryanalyzerapitoken | API 토큰은 인공 인스턴스에 연결합니다. 참고 : 이 설정은 로컬 build.sbt 파일에 추가되어서는 안되며 보안상의 이유로 코드 저장소에 헌신해야합니다. 대신 ~/.sbt/<version>/global.sbt 파일에 추가 할 수 있습니다 | |
| 의존성 Checkartifactoryanalyzerbearertoken | 인공 인스턴스에 연결하는 소지자 토큰. 참고 : 이 설정은 로컬 build.sbt 파일에 추가되어서는 안되며 보안상의 이유로 코드 저장소에 헌신해야합니다. 대신 ~/.sbt/<version>/global.sbt 파일에 추가 할 수 있습니다 | |
| 종속성 체크 golangdepenabled | 실험 Golang 의존성 분석기를 사용해야하는지 여부를 설정합니다. dependencyCheckEnableExperimental true로 설정되어야합니다. | 진실 |
| 의존성 체크 곤트 모드 가능성 | 실험 Golang 모듈 분석기를 사용해야하는지 여부를 설정합니다. 설치해야 go . dependencyCheckEnableExperimental true로 설정되어야합니다. | 진실 |
| 의존성 체크 펠트 토고 | "go"런타임으로가는 길. |
플러그인에서 다음 속성을 구성 할 수 있습니다. 그러나 덜 자주 변경됩니다. 한 가지 예외는 Cvedurl 속성 일 수 있으며,이 속성은 엔터프라이즈 환경 내에서 NVD의 미러를 호스팅하는 데 사용할 수 있습니다.
| 환경 | 설명 | 기본값 |
|---|---|---|
| 종속성 체크 큐버 | 수정 된 CVE JSON 데이터 피드의 URL. NVD를 미러링 할 때 *.json.gz와 *.meta 파일을 미러링해야합니다. 선택 사항 사용자 정의 dependencyCheckCveUrlBase 가 도메인 이름 변경 일 경우. | https://nvd.nist.gov/feeds/json/cve/1.1/nvdcve-1.1-modified.json.gz |
| 종속성 체크 큐버베이스 | 매년 CVE JSON 데이터 피드에 대한 기본 URL은 %D가 연도로 대체됩니다. | https://nvd.nist.gov/feeds/json/cve/1.1/nvdcve-1.1-%D.json.gz |
| 종속성 체크 큐버이 | dependencyCheckCveUrlBase 베이스에 연결할 때 사용되는 사용자 이름입니다. | |
| 종속성 체크 큐프 파더 워드 | dependencyCheckCveUrlBase checkcveurlbase에 연결할 때 사용되는 비밀번호입니다. | |
| 종속성 체크 웨이 타임 | NVD의 다운로드 사이를 대기하는 밀리 초의 시간. | 4000 |
| 종속성 체크 카브 스타트 시어 | NVD CVE 데이터의 첫해 NVD에서 다운로드합니다. | 2002 |
| 종속성 체크 콘센트 타임 아웃 | 외부 데이터를 다운로드 할 때 사용되는 URL 연결 시간 초과 (밀리 초)를 설정합니다. | |
| 종속성 체크 콘센트 레드 타임 아웃 | 외부 데이터를 다운로드 할 때 사용되는 URL 읽기 시간 초과 (밀리 초)를 설정합니다. | |
| 의존성 체크 다타 디렉토리 | SQL CVES 컨텐츠를 보유하도록 데이터 디렉토리를 설정합니다. 이것은 일반적으로 변경되지 않아야합니다. | [jar] 데이터 |
| 종속성 체크 디자베이스 리브 리버 이름 | 데이터베이스 드라이버의 이름. 예 : org.h2.driver. | org.h2. 드라이버 |
| 종속성 체크 드타베이스 브리버 경로 | 데이터베이스 드라이버 JAR 파일의 경로; 드라이버가 클래스 경로에없는 경우에만 사용됩니다. | |
| 종속성 체크 콘센트 스트링 | 데이터베이스에 연결하는 데 사용되는 연결 문자열은 데이터베이스 이름으로 대체됩니다. | jdbc : h2 : 파일 :%s; autocommit = on; mv_store = false; |
| 의존성 체크 다타 베이저 | 데이터베이스에 연결할 때 사용되는 사용자 이름입니다. | DCUSER |
| 종속성 체크 다타 바스파스 워드 | 데이터베이스에 연결할 때 사용되는 비밀번호. | |
| 종속성 체크 호 스테드 스uppressionSenabled | 호스팅 된 억제 파일이 사용되는지 여부. | 진실 |
| 종속성 체크 hostedsuppressionsforceupdate | 호스팅 된 억제 파일이 dependencyCheckAutoUpdate 설정에 관계없이 업데이트되는지 여부. | 거짓 |
| 종속성 체크 hostedSuppressionSurl | URL은 인터넷 제한된 환경에 대한 호스팅 된 억제 파일의 미러 된 사본에 대한 URL입니다. | https://jeremylong.github.io/dependencycheck/suppressions/publishedsuppressions.xml |
| 종속성 체크 호스트 uppressionsvalidforhours | NVD에서 새 업데이트를 확인하기 전에 기다릴 시간 수를 설정합니다. | 2 |
모든 프로젝트에 대한 설정을 정의하려면 Global 또는 ThisBuild 범위를 사용하십시오. 특정 프로젝트의 기본 또는 글로벌/thisbuild 설정에서 분기하려는 경우 프로젝트 수준에서 정의하십시오.
build.sbt
Global / dependencyCheckFormats := Seq ( " HTML " , " JSON " )
lazy val root = (project in file( " . " ))
.aggregate(core)
.settings(
libraryDependencies += " com.github.t3hnar " %% " scala-bcrypt " % " 2.6 " % " test " ,
dependencyCheckSkipTestScope := false
)
lazy val util = (project in file( " util " ))
.settings(
libraryDependencies += " commons-beanutils " % " commons-beanutils " % " 1.9.1 "
)
lazy val core = project.dependsOn(util)
.settings(
libraryDependencies += " org.apache.commons " % " commons-collections4 " % " 4.1 " % " runtime " ,
dependencyCheckSkip := true
)
거의 모든 설정은 각 개별 하위 프로젝트가 아니라 작업을 수행하는 프로젝트에 대해서만 평가됩니다. aggregate() 및 dependsOn() 프로젝트를 위해 작동하도록 지원되는 면제는 범위 건너 뛰기 설정입니다.
dependencyCheckSkipdependencyCheckSkipTestScopedependencyCheckSkipRuntimeScopedependencyCheckSkipProvidedScopedependencyCheckSkipOptionalScope필요한 경우 각 프로젝트에 대해 개별적으로 설정해야합니다.
다음을 build.sbt 파일에 추가하여 기본 info 에서 EG debug 로 로그 레벨을 늘리십시오.
logLevel in dependencyCheck := Level.Debug
수표를 실행할 때 -Dlog4j2.level=debug 추가하십시오.
sbt -Dlog4j2.level=debug dependencyCheck
Project에 사용하는 올바른 작업 이름으로 dependencyCheck 교체하십시오.
모든 SBT 프로젝트에 기본 구성을 적용하려면 글로벌 설정으로 추가 할 수 있습니다.
플러그인을 ~/.sbt/1.0/plugins/sbt-dependency-check.sbt 에 추가하십시오
addSbtPlugin( " net.vonbuchholtz " % " sbt-dependency-check " % " 5.1.0 " ) 완전히 자격있는 이름 (패키지 및 중첩 객체 구조 포함)을 사용하여 ~/.sbt/1.0/global.sbt 에 설정을 추가하십시오. 예를 들어
net.vonbuchholtz.sbt.dependencycheck. DependencyCheckPlugin .autoImport.dependencyCheckFormat := " All "글로벌 설정 및 플러그인에 대한 자세한 내용은 SBT 문서를 확인하십시오 : https://www.scala-sbt.org/1.x/docs/global-settings.html
SBT 및 sbt-dependency-check JVM의 표준 HTTP 및 HTTPS 프록시 설정을 모두 존중합니다.
sbt -Dhttp.proxyHost=proxy.example.com
-Dhttp.proxyPort=3218
-Dhttp.proxyUser=username
-Dhttp.proxyPassword=password
-DnoProxyHosts="localhost|http://www.google.com"
dependencyCheck
purgeDeletesDatabase 실행 쿼리 Update PUBLIC.PROPERTIES t SET t."VALUE"= '<NEW_VERSION_NUMBER>' WHERE t.ID = 'version' release 작업을 실행하고 지침을 따르십시오. 릴리스가 Maven Central에 도달했는지 확인하십시오. https://search.maven.org에 대해 인덱싱하는 데 최대 2 시간이 걸립니다.
저작권 (C) 2016-2022 Alexander Baron v. Buchholtz
Apache 라이센스, 버전 2.0 ( "라이센스")에 따라 라이센스가 부여되었습니다. 라이센스를 준수하는 것 외에는이 파일을 사용할 수 없습니다. 라이센스 사본을 얻을 수 있습니다
https://www.apache.org/licenses/license-2.0
해당 법률에 의해 요구되거나 서면에 동의하지 않는 한, 라이센스에 따라 배포 된 소프트웨어는 명시 적 또는 묵시적 보증 또는 조건없이 "그대로"기준으로 배포됩니다. 라이센스에 따른 특정 언어 통치 권한 및 제한 사항에 대한 라이센스를 참조하십시오.
