如何在缺少 nvd 文件時忽略 Maven 依賴項檢查失敗
[英]How to ignore Maven dependency-check failure on missing nvd file
問題描述
我今天嘗試使用 Maven 發布插件執行我的項目的發布。 由於dependency-check-maven插件嘗試下載尚未上傳的2020版CVD文件而失敗:
無法下載元文件: https : //nvd.nist.gov/feeds/json/cve/1.1/nvdcve-1.1-2020.meta ; 收到 404 -- 未找到資源
對NVD 數據饋送頁面的簡要閱讀顯示該文件尚未上傳。
顯然我可以等待大約 24 小時,這個問題可能會消失; 但是,我仍然想知道如何覆蓋此 URL 以在今天發布我的項目。 我嘗試了一些命令行選項,包括以下方面的變化:
mvn dependency-check:check -DcveUrlBase=https://nvd.nist.gov/feeds/json/cve/1.1/nvdcve-1.1-2019.json.gz
但是,它們仍然會導致錯誤。 我知道我可以跳過此檢查,但更願意在 2020 年之前檢查所有文件。
這個問題建議使用nist-data-mirror插件創建一個本地存儲庫,但與等待 24 小時相比,這似乎有很多開銷。
是否有任何命令行或易於恢復的pom.xml編輯可以讓我今天發布我的項目?
1 個解決方案
解決方案1
2 已采納 2020-01-02 08:07:42
我的建議是創建一個單獨的作業來通過檢查您的依賴項來更新數據庫,這樣當更新失敗時,檢查仍然可以發生。 這有兩個額外的優勢,首先,檢查依賴關系更快,因為您不必每次都建立數據庫,其次,更少的請求必須轉到 NVD,從而節省資源。
NVD 現在還發布了 2020 CVE,因此現在不需要修復/解決方法,但他已經創建了一個修復https://github.com/jeremylong/DependencyCheck/commit/217da90bd6991125087f0be3a60a60763194ecf1 ,它將包含在即將發布的修復中2021 年之前我們可能會再次遇到這個問題。
我還建議將建議保留在您也提到的 github 問題中。 討論當然可以在這里進行。
無法使用jenkins或maven連接到依賴項檢查數據庫
[英]Unable to connect to the dependency-check database with jenkins or maven
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.