如何在缺少 nvd 文件时忽略 Maven 依赖项检查失败
Dan*_*dis 9 maven maven-dependency maven-dependency-check-plugin
我今天尝试使用 Maven 发布插件执行我的项目的发布。由于dependency-check-maven插件尝试下载尚未上传的2020版CVD文件而失败:
无法下载元文件:https : //nvd.nist.gov/feeds/json/cve/1.1/nvdcve-1.1-2020.meta ; 收到 404 -- 未找到资源
对NVD 数据馈送页面的简要阅读显示该文件尚未上传。
显然我可以等待大约 24 小时,这个问题可能会消失;但是,我仍然想知道如何覆盖此 URL 以在今天发布我的项目。我尝试了一些命令行选项,包括以下方面的变化:
mvn dependency-check:check -DcveUrlBase= https://nvd.nist.gov/feeds/json/cve/1.1/nvdcve-1.1-2019.json.gz
但是,它们仍然会导致错误。我知道我可以跳过此检查,但更愿意在 2020 年之前检查所有文件。
这个问题建议使用nist-data-mirror插件创建一个本地存储库,但与等待 24 小时相比,这似乎有很多开销。
是否有任何命令行或易于恢复的pom.xml编辑可以让我今天发布我的项目?
我的建议是创建一个单独的作业来更新数据库而不检查依赖项,这样当更新失败时仍然可以进行检查。这有两个额外的优点,首先,检查依赖关系更快,因为您不必每次都构建数据库,其次,需要发送到 NVD 的请求更少,从而节省了资源。
NVD 现在还发布了 2020 CVE,因此目前不需要修复/解决方法,但他已经创建了一个修复https://github.com/jeremylong/DependencyCheck/commit/217da90bd6991125087f0be3a60a60763194ecf1,该修复将包含在即将发布的版本中,这将修复2021 年之前我们可能会再次遇到这个问题。
我还建议将建议保留在您也提到的 github 问题中。当然,讨论仍然可以在这里进行。
https://github.com/jeremylong/DependencyCheck/issues/2403
| 归档时间: |
|
| 查看次数: |
5442 次 |
| 最近记录: |