by Bozho | Dec 27, 2017 | Aggregated, Developer tips, maven, security
I have to admit with a high degree of shame that I didn’t know about the OWASP dependency check maven plugin. And seems to have been around since 2013. And apparently a thousand projects on GitHub are using it already. In the past I’ve gone manually through dependencies to check them against vulnerability databases, or in many cases I was just blissfully ignorant about any vulnerabilities that my dependencies had. The purpose of this post is just that – to recommend the OWASP dependency check maven plugin as a must-have in practically every maven project. (There are dependency-check tools for other build systems as well). When you add the plugin it generates a report. Initially you can go and manually upgrade the problematic dependencies (I upgraded two of those in my current project), or suppress the false positives (e.g. the cassandra library is marked as vulnerable, whereas the actual vulnerability is that Cassandra binds an unauthenticated RMI endpoint, which I’ve addressed via my stack setup, so the library isn’t an issue). Then you can configure a threshold for vulnerabilities and fail the build if new ones appear – either by you adding a vulnerable dependency, or in case a vulnerability is discovered in an existing dependency. All of that is shown in the examples page and is pretty straightforward. I’d suggest adding the plugin immediately, it’s a must-have: <plugin> <groupId>org.owasp</groupId> <artifactId>dependency-check-maven</artifactId> <version>3.0.2</version> <executions> <execution> <goals> <goal>check</goal> </goals> </execution> </executions> </plugin> Now, checking dependencies for vulnerabilities is just one small aspect of having your software secure and it shouldn’t give you a false sense of security (a sort-of “I have...
by Nikolay Vasilev's Technical Blog | Aug 19, 2011 | Aggregated, eclipse, maven, Software Design & Development
Рано или късно, след една, две или няколко преинсталации на операционната система, всеки от нас достига до извода, че трябва да инсталира потребителските програми на дял/твърд диск, различен от системния. Да, но повечето програми, при инсталиране имат предефинирани настройки, които обикновено (поне в случая с Windows) очакват, че инсталацията на сътоветната програма е на системния дял. Подобен е случая и с Eclipse и Maven. Промяна на Maven хранилището на локалния компютър Дори Maven да е инсталиран на дял различен от системния, по подразбиране Maven хранилището на локалния компютър се очаква, че ще бъде по подразбиране точно на системния дял: за Windows (Vista/7) то е в C:\Users\<WINDOWS_USERNAME>\.m2\repository за Linux в ~/.m2/repository Ако искаме да променим местоположението на локалното хранилище, да бъде на дял различен от системния например, единственото, което е нужно да направим е да променим конфигурационния файл на Maven – settings.xml, намиращ се в инсталационната директория на Maven. За целта, разкоментираме тагът localRepository и добавяме пътя до новата директория, която ще бъде използвана за хранилище: <settings> ... <localRepository>/path/to/local/repo/</localRepository> ... </settings> В моя случай, промяната изглежда по следния начин: <settings> ... <localRepository>D:/config/maven/.m2/repository</localRepository> ... </settings> Eclipse и новото хранилище По подразбиране Eclipse използва собствена инстанция на Maven. За локално хранилище, по подразбиране, използва следните папки: за Windows (Vista/7) в C:\Users\<WINDOWS_USERNAME>\.m2\repository за Linux в ~/.m2/repository Ако инсталираме Maven на място различно от това по подразбиране и конфигурираме локалното хранилище да бъде на място различно от това, което се очаква по принцип, инсталирането на генерираните от Maven архиви (jar,war, и т.н.) в локалното хранилище, ще се записват на новоуказаното място. Ако не отразим тези промени и в Eclipse, той ще използва собствената инстанция на Maven и собствени настройки за локално Maven хранилище. Съответно, ако Eclipse не намери папката .m2/repository в директорията на текущия потребител (user.home)...
by Nikolay Vasilev's Technical Blog | Mar 27, 2011 | Aggregated, Brian Fox, maven, Timothy O'Brien, tutorial, Книги
Timothy O'Brien, John Casey, Brian Fox – Maven: The Definitive Guide Автор: Timothy O’Brien, John Casey, Brian Fox Информация в Goodreads: Да Налична в Моята библиотека: Не Оценка: 5/5 Въпреки че книгата е малко старичка (съответно – свързана със по-стара версия на Maven), тя е чудесно въведение в идеите и философията на Maven. Освен това, съдържанието е поднесено по начин следващ педагогическите правила и това допълнително придава още по-голяма ценност на книгата. Timothy O'Brien, John Casey, Brian Fox – Maven: The Definitive Guide Автор: Timothy O’Brien, John Casey, Brian Fox Информация в Goodreads: Да Налична в Моята библиотека: Не Оценка: 5/5 Въпреки че книгата е малко старичка (съответно – свързана със по-стара версия на Maven), тя е чудесно въведение в идеите и философията на Maven. Освен това, съдържанието е поднесено по начин следващ педагогическите правила и това допълнително придава още по-голяма ценност на...
Recent Comments