Java项目中往往会使用很多第三方类库或开源类库。在完成项目开发,并准备上线时,经常需要做漏洞扫描。一旦扫描出的上千的漏洞往往会让我们不知所措。如果上线要求非常严格,针对漏扫结果,我们需要逐个jar包查找有没有对应的升级或补丁。而即便我们找到了升级Jar包,在升级过程中也可能遇到版本不兼容的情况,甚至导致整个系统无法运行。
事实上,对于局域网类项目,或者内部网络已经做了严格的安全防护措施,甚至于各种端口全部关闭的情况下,单个软件包的漏扫并不能说明太大问题。
但为了满足漏扫规定,我们仍然需要处理,这里提供一种快速的清除项目中安全漏洞的方法。需要特别说明的是本插件仅仅针对我们项目打包出的Jar包清除了漏扫特征文件,使漏扫软件无法扫描出安全漏洞,并未进行事实上的软件包升级或任何填补漏洞的工作,请您要特别注意这一点。
- 插件的使用:
<!-- 在pom.xml的build段中添加下面的插件 -->
<build>
....
<!-- 添加这个插件 -->
<plugin>
<groupId>com.yushu.maven</groupId>
<artifactId>leakmask</artifactId>
<version>1.2</version>
</plugin>
</build>
- 编译时候执行:
mvn clean package leakmask:mask
这样在target/目录下生成的jar包再次进行漏洞扫描时,所有漏洞将不存在。
- 插件下载
可从下面的链接下载插件:下载插件
下载并解压缩后,将leakmask-1.2.jar、leakmask-1.2.pom放入本地仓库(一般为.m2目录)下,路径:${repository}/com/yushu/maven/leakmask/1.2/ 目录下即可
本文转载自: https://blog.csdn.net/weixin_44214515/article/details/129298779
版权归原作者 weixin_44214515 所有, 如有侵权,请联系我们删除。
版权归原作者 weixin_44214515 所有, 如有侵权,请联系我们删除。