官方网站:https://owasp.org/www-project-dependency-check/
参考Maven Plugin的页面
使用方法:
在自己项目中的pom.xml中加入对应的dependency和plugin
pom文件
在设置完这两个东西,并且IDE下载完需要的依赖后,就可以在maven的命令中找到对应的指令,如下图
执行dependency-check:check指令,或者在命令行中执行 mvn dependency-check:check,即可。
dependency-check的依赖:
dependency-check依赖.net core,所以需要在电脑上安装,检查.net core是否已经安装的方法:
在命令行中执行dotnet --version,即可当前的dotnet的版本
使用dotnet --list-sdks,可以看到已经安装的各个sdk的版本以及路径
.net core的下载 https://dotnet.microsoft.com/download/dotnet-core
由于dependency-check暂时只支持.net core的2.x版本,所以请下载2.x的版本,这里推荐2.1.16的版本。
在实现步骤的过程中遇到的问题:
当前版本5.3.0需要.net core的环境,所以需要安装.net core 2.x, 我一开始安装的是3.1.102,然后执行dependency-check,还是会报错,经过查询,有人说dependency-check暂时不支持.net core的3.x版本
安装完.net core 2.x版本,执行dependency-check,仍然出错,原因是电脑上已经存在了两个版本的.net core,运行dotnet --version,得到的结果还是3.x的版本号
然后在运行目录执行dotnet new globaljson,这样会在当前目录创建一个global.json的文件,打开这个文件,将版本号改成2.x即可
之后再运行mvn dependency-check:check,就不会再出错了。然后在当前目录的target目录下,就能找到report文件了
