dependency-check에서 gretty에 포함된 취약점을 건너뛰는 방법

전제 - 버전



build.gradle.kts
plugins {
  id("org.owasp.dependencycheck") version "5.2.4"

  id("org.gretty") version "3.0.1"
}

설명



dependency-check이란?



종속성에 취약성이 있는지 확인하는 도구
owasp의 jeremylong이 만들고 있습니까?
htps: 기주 b. 이오 / 데 펜덴 cy 치 CK /

gretty란?



IDE 기능을 사용하지 않고도 gradle 작업으로 tomcat 및 jetty와 같은 응용 프로그램 서버를 시작할 수 있습니다.
gradle 플러그인
htps : // p ㅅ 진 s. g 등 dぇ. 오 rg / p ㅅ 긴 / rg. ㅎㅎ

왜 시도했습니까?



gretty 넣으면 많은 취약점이 있었다.





매우 슬프다・・・
발견된 취약성은 246개입니다.

gretty는 로컬 환경에서만 사용되며,
개발 환경이나 프로덕션 환경에서 제품이 되는 의존 관계에는 포함되지 않으므로,
이 취약점은보고 싶지 않습니다.

방법



1. gretty configuration을 말한다



다음과 같은 작업을 준비하고 실행하여 구성 목록을 출력합니다.

build.gradle.kts
tasks.register("showConfiguration") {
    configurations.stream().forEach {
        println(it.name)
    }
}


출력한 결과, "gretty"로 시작하는 configuration이 있으므로,
복사

2. dependencyCheck의 skipConfigurations에 1. 넣다



gretty version 3.0.1의 경우라면 다음과 같이 되었습니다.
이전 버전이라면, 「tomcat8」등 추가가 될까 생각합니다

kotlin DSL

build.gradle.kts
dependencyCheck {
  skipConfigurations = listOf(
      "gretty",
      "grettyNoSpringBoot",
      "grettyProductRuntime",
      "grettyProvidedCompile",
      "grettyRunnerJetty7",
      "grettyRunnerJetty8",
      "grettyRunnerJetty9",
      "grettyRunnerJetty93",
      "grettyRunnerJetty94",
      "grettyRunnerTomcat85",
      "grettyRunnerTomcat9",
      "grettySpringLoaded",
      "grettyStarter"
  )
}

gradle

build.gradle
dependencyCheck {
  skipConfigurations = [
      "gretty",
      "grettyNoSpringBoot",
      "grettyProductRuntime",
      "grettyProvidedCompile",
      "grettyRunnerJetty7",
      "grettyRunnerJetty8",
      "grettyRunnerJetty9",
      "grettyRunnerJetty93",
      "grettyRunnerJetty94",
      "grettyRunnerTomcat85",
      "grettyRunnerTomcat9",
      "grettySpringLoaded",
      "grettyStarter"
  ]
}


결과





발견된 취약점이 0이 되었습니다

요약



※gretty version 3.0.1의 경우.
이전 버전이라면, 「tomcat8」등 추가가 될까 생각합니다

build.gradle.kts
dependencyCheck {
  skipConfigurations = listOf(
      "gretty",
      "grettyNoSpringBoot",
      "grettyProductRuntime",
      "grettyProvidedCompile",
      "grettyRunnerJetty7",
      "grettyRunnerJetty8",
      "grettyRunnerJetty9",
      "grettyRunnerJetty93",
      "grettyRunnerJetty94",
      "grettyRunnerTomcat85",
      "grettyRunnerTomcat9",
      "grettySpringLoaded",
      "grettyStarter"
  )
}

좋은 웹페이지 즐겨찾기