【Gradle】Kotlin DSL로 의존 라이브러리의 취약성을 해석한다

이 기사에서는 org.owasp.dependencycheck 5.2.1를 사용하여 Gradle.kts에서 종속 라이브러리의 취약점을 구문 분석합니다.

방법



이번에는 Intellij IDEA의 Spring Initializr에서 생성 한 Spring-Boot 프로젝트의 build.gradle.kts에 추가하여 org.owasp.dependencycheck를 도입합니다.

도입 결과



조속하지만, 다음이 도입 결과입니다.
추가 부분은 코멘트와 같습니다.

공식적으로 Kotlin DSL에서의 기법도 실려 있기 때문에, 복사하고 붙여 넣는 것만으로 움직입니다.
  • Gradle - Plugin: org.owasp.dependencycheck

  • build.gradle.kts
    import org.jetbrains.kotlin.gradle.tasks.KotlinCompile
    
    // 追加
    buildscript {
        repositories {
            maven {
                url = uri("https://plugins.gradle.org/m2/")
            }
        }
        dependencies {
            classpath("org.owasp:dependency-check-gradle:5.2.1")
        }
    }
    
    // 追加
    apply(plugin = "org.owasp.dependencycheck")
    
    plugins {
        id("org.owasp.dependencycheck") version "5.2.1" // 追加
        id("org.springframework.boot") version "2.1.7.RELEASE"
        id("io.spring.dependency-management") version "1.0.7.RELEASE"
        kotlin("jvm") version "1.2.71"
        kotlin("plugin.spring") version "1.2.71"
    }
    
    group = "com.wrongwrong"
    version = "0.0.1-SNAPSHOT"
    java.sourceCompatibility = JavaVersion.VERSION_1_8
    
    repositories {
        mavenCentral()
    }
    
    dependencies {
        implementation("org.springframework.boot:spring-boot-starter")
        implementation("org.jetbrains.kotlin:kotlin-reflect")
        implementation("org.jetbrains.kotlin:kotlin-stdlib-jdk8")
        testImplementation("org.springframework.boot:spring-boot-starter-test")
    }
    
    tasks.withType<KotlinCompile> {
        kotlinOptions {
            freeCompilerArgs = listOf("-Xjsr305=strict")
            jvmTarget = "1.8"
        }
    }
    

    실행


    Gradle -> Tasks -> owasp dependency-check -> dependencyCheckAnalyze에서 실행합니다.


    그러면 검사 결과가 build/reports/dependency-checck-report.html로 출력됩니다.

    좋은 웹페이지 즐겨찾기