- vừa được xem lúc

Kiểm tra bảo mật của Library trong Maven Project

#Java
#Security
#Maven
#KhaiButDauXuan
#dependencies

0 0 26

Người đăng: ledangtuanbk

Theo Viblo Asia

Giới thiệu chung

Trong quá trình phát triển ứng dụng các Maven Project, chúng ta thường chỉ kiểm tra tính năng hoạt động của thư viện đó, tương thích với project không, hiếm khi kiểm tra xem thư viện đó có lỗi liên quan đến bảo mật không. Trong project có rất nhiều thư viện, ta không thể vào maven repository kiểm tra từng thư viện riêng lẻ được, nó sẽ mất rất nhiều thời gian, hơn nữa, có thể ngày hôm nay thư viện đó chưa bị phát hiện lỗi liên quan đến bảo mật, nhưng hôm sau có thể bị phát hiện ra. Chúng ta cần phải kiểm tra một cách tự động việc này. Hôm nay mình sẽ giới thiệu tools mà mình đang sử dụng trong project hiện tại dependency-check-maven. Cá nhân mình thấy nó khá hữu ích.

Tool sẽ tự động kiểm tra các thư viện sử dụng trong project với thư viện lưu trữ các vấn đề liên quan đến bảo mật OWASP. Kiểm tra các vấn đề liên quan và tạo report.

Cách sử dụng

Có 1 vài cách sử dụng tool, trong bài viết này, mình sẽ hướng dẫn cách đơn giản mà mình vẫn đang sử dụng.

Thêm config trong pom.xml

<profile> <id>owasp-dependency-check</id> <build> <plugins> <plugin> <groupId>org.owasp</groupId> <artifactId>dependency-check-maven</artifactId> <version>6.2.2</version> <executions> <execution> <goals> <goal>check</goal> </goals> </execution> </executions> </plugin> </plugins> </build> </profile>

Chạy lệnh kiểm tra và tiến hành xem kết quả.

mvn clean install -Dmaven.test.skip=true -Powasp-dependency-check

Ví dụ

Mình có tạo 1 project mẫu tại đây , trong này sẽ sử dụng 1 thư viện có vấn đề liên quan đến bảo mật

 <!-- https://mvnrepository.com/artifact/org.apache.logging.log4j/log4j-api --> <dependency> <groupId>org.apache.logging.log4j</groupId> <artifactId>log4j-api</artifactId> <version>2.11.2</version> </dependency>

Kết quả hiển thị như bên duới.

Từ đó có thể phát hiện ra vấn đề và tìm cách giải quyết.

Kết luận

Mình thấy đây là một tool khá hay và cần thiết trong quá trình phát triển hệ thống. Hy vọng giúp ích cho mọi người. Nếu cần trao đổi hãy comment ở bên dưới.

Link tham khảo

https://owasp.org/ https://github.com/jeremylong/DependencyCheck

Bình luận

Bài viết tương tự

- vừa được xem lúc

Tổng hợp các bài hướng dẫn về Design Pattern - 23 mẫu cơ bản của GoF

Trending

Link bài viết gốc: https://gpcoder.com/4164-gioi-thieu-design-patterns/. Design Patterns là gì. Design Patterns không phải là ngôn ngữ cụ thể nào cả.

0 0 277

- vừa được xem lúc

Học Spring Boot bắt đầu từ đâu?

Trending

1. Giới thiệu Spring Boot. 1.1.

0 0 257

- vừa được xem lúc

Cần chuẩn bị gì để bắt đầu học Java

Cần chuẩn bị những gì để bắt đầu lập trình Java. 1.1. Cài JDK hay JRE.

0 0 37

- vừa được xem lúc

Sử dụng ModelMapper trong Spring Boot

Trending

Bài hôm nay sẽ là cách sử dụng thư viện ModelMapper để mapping qua lại giữa các object trong Spring nhé. Trang chủ của ModelMapper đây http://modelmapper.org/, đọc rất dễ hiểu dành cho các bạn muốn tìm hiểu sâu hơn. 1.

0 0 180

- vừa được xem lúc

[Java] 1 vài tip nhỏ khi sử dụng String hoặc Collection part 1

. Hello các bạn, hôm nay mình sẽ chia sẻ về mẹo check String null hay full space một cách tiện lợi. Mình sẽ sử dụng thư viện Lớp StringUtils download file jar để import vào thư viện tại (link).

0 0 55

- vừa được xem lúc

Deep Learning với Java - Tại sao không?

Muốn tìm hiểu về Machine Learning / Deep Learning nhưng với background là Java thì sẽ như thế nào và bắt đầu từ đâu? Để tìm được câu trả lời, hãy đọc bài viết này - có thể kỹ năng Java vốn có sẽ giúp bạn có những chuyến phiêu lưu thú vị. DJL là tên viết tắt của Deep Java Library - một thư viện mã ng

0 0 124