Maven中央仓库增加新功能以帮助开发者修复漏洞-maven官方仓库地址

 

是的，如果以后在PPT中看到“Maven中有一些关键漏洞”时你应该理解为“这些在Maven中央仓库的依赖工件存在漏洞”。

上面是Apache Maven官方针对下图的一个回应：

除了借此来暗讽Snyk公司（全球知名的应用安全解决方案提供商）的高级工程师不懂Maven和Maven Center之外，还带来了Maven中央仓库久违的改变。 Maven中央仓库(mvnrepository.com)近期悄悄增加了一个功能，在依赖列表增加了一个Vulnerabilities红色高亮字段，这个字段用来展示当前依赖版本的漏洞信息，以提醒哪些还没有注意到该漏洞信息的开发者，方便评估漏洞并加以规避。

请注意必须是已被公布的漏洞才会被显示，Maven 中央仓库本身不具备扫描漏洞的能力。

这项举措非常及时，意在引入一个机制来应对像Log4j2漏洞一样的风险。Log4j2漏洞的余波仍未平息。根据Google的统计，目前有超过35,000个 Java 类库受 Log4j 漏洞影响，占Maven中央仓库存储的类库总数的8%，对整个软件行业都造成了广泛的后果。专家们分析了修复影响Maven包的关键公告中报告的缺陷所花费的时间，并确定只有 48%的受漏洞影响的工件已得到修复，整个过程可能需要数年时间。Maven团队的这一举措将帮助那些没有完整安全评估体系的研发团队，加快修复受log4jshell漏洞影响的Java生态。

另外胖哥还有一个小窍门，如果你不想在项目中使用已知安全漏洞的类库，你也可以通过下面的Maven插件来完成扫描操作：

<plugin> <groupId>org.owasp</groupId> <artifactId>dependency-check-maven</artifactId> <version>6.5.1</version> <executions> <execution> <goals> <goal>check</goal> </goals> </execution> </executions> </plugin>

当执行mvn verify时，它会产生以下输出：

One or more dependencies were identified with known vulnerabilities in ctlog: httpclient-4.3.3.jar (cpe:/a:apache:httpclient:4.3.3, org.apache.httpcomponents:httpclient:4.3.3) : CVE-2015-5262, CVE-2014-3577 bcprov-jdk15on-1.49.jar (cpe:/a:bouncycastle:bouncy-castle-crypto-package:1.49, cpe:/a:bouncycastle:bouncy_castle_crypto_package:1.49, org.bouncycastle:bcprov-jdk15on:1.49) : CVE-2015-7940 See the dependency-check report for more details.

并且可以生成漏洞报告，以方便安全团队评估。

好了，2021年马上就要过去了，提前给各位同学说声元旦快乐，我们2022年见！