普通的OWASP Dependency Check Maven插件可以很好地扫描项目的当前版本,以查找其依赖项中的漏洞。
但是,对于旧版本项目的依赖项报告的漏洞如何呢?
我看到的所有OWASP Dependency Check指南都描述了如何设置它来只检查项目的当前版本。
我认为,为了避免漏洞,应该定期检查仍在使用的项目的所有版本,包括当前版本和旧版本。检查还应该定期运行,而不仅仅是在执行构建时运行。
使用OWASP Dependency Check的最佳方法是什么?
一种方法是检查部署到某个Maven存储库的所有工件。有没有什么好的办法呢?
1条答案
按热度按时间qoefvg9y1#
我假设您在源代码库中为每个旧版本的软件都有一个标记或分支,因此在运行依赖项检查之前,您必须在工作区中 checkout 这个标记/分支。这个操作可以通过一些continuos集成工具(如Jenkins)自动化。