分析 POM 文件中的依赖版本号,对比漏洞数据库

扫描编译后的 JAR 文件,提取 CPE/CVE 标识并与 NVD 数据库比对

运行单元测试检测潜在的代码安全问题

检查代码中的安全漏洞模式

发现漏洞后立即升级到最新版本,不论兼容性影响

根据 CVSS 评分设定修复优先级:Critical(>=9.0)立即修复,High(7.0-8.9)一周内修复

在 CI/CD 流水线中集成 Dependency-Check,阻断含高危漏洞的构建

对于无法立即升级的漏洞,评估影响面并采取缓解措施(如隔离、WAF)

定期更新 NVD 数据库,确保扫描结果基于最新漏洞信息

MIT License

Apache License 2.0

GPL v3

BSD 3-Clause

使用 license-maven-plugin 生成依赖许可证报告

配置 Nexus IQ Server 扫描依赖许可证并设置策略

手动检查每个依赖的 LICENSE 文件

在 CI/CD 中设置许可证白名单,阻断使用不允许许可证的依赖

使用 dependency:tree 命令查看依赖的许可证信息

攻击者注入恶意代码到知名开源库;防御:使用 Dependabot 自动更新

攻击者在公共仓库发布与私有包同名的更包;防御:配置 scope 锁定和仓库优先级

攻击者篡改 Maven Central 的构件;防御:使用 HTTPS 下载依赖

攻击者通过供应链入侵构建工具;防御:定期更换 Maven 版本

实施构件签名验证,只接受签名有效的依赖

锁定依赖版本,禁止自动升级到最新版本

配置仓库白名单,只允许从信任的仓库下载依赖

使用 SLSA(Supply-chain Levels for Software Artifacts)框架评估供应链安全等级

禁用所有传递依赖,只使用直接依赖

在每次构建后发送邮件通知安全团队审查

在流水线中配置 OWASP Dependency-Check 插件,设置 failBuildOnCVSS 阈值自动阻断构建

每月定期运行一次安全扫描

在代码审查阶段人工检查依赖版本

Pull Request 阶段:运行 Dependency-Check,阻止含 Critical 漏洞的 PR 合并

Build 阶段:验证所有依赖的签名和来源

Test 阶段:运行 SAST 工具扫描源代码中的安全漏洞

Deploy 阶段:检查许可证合规性,阻断使用不允许许可证的构件

Production 阶段:每次发布后运行渗透测试

添加 org.owasp:dependency-check-maven 插件

配置 failBuildOnCVSS 设置漏洞严重性阈值

执行 mvn dependency-check:check 命令进行扫描

插件会自动阻止所有包含漏洞的依赖下载

需要在 settings.xml 配置漏洞数据库 API 密钥