Java项目中往往会使用很多第三方类库或开源类库。在完成项目开发,并准备上线时,经常需要做漏洞扫描。一旦扫描出的上千的漏洞往往会让我们不知所措。如果上线要求非常严格,针对漏扫结果,我们需要逐个jar包查找有没有对应的升级或补丁。而即便我们找到了升级Jar包,在升级过程中也可能遇到版本不兼容的情况,甚至导致整个系统无法运行。
事实上,对于局域网类项目,或者内部网络已经做了严格的安全防护措施,甚至于各种端口全部关闭的情况下,单个软件包的漏扫并不能说明太大问题。
但为了满足漏扫规定,我们仍然需要处理,这里提供一种快速的清除项目中安全漏洞的方法。需要特别说明的是本插件仅仅针对我们项目打包出的Jar包清除了漏扫特征文件,使漏扫软件无法扫描出安全漏洞,并未进行事实上的软件包升级或任何填补漏洞的工作,请您要特别注意这一点。
1. 插件的使用:
....
2. 编译时候执行:
mvn clean package leakmask:mask
这样在target/目录下生成的jar包再次进行漏洞扫描时,所有漏洞将不存在。
3. 插件下载
可从下面的链接下载插件:下载插件
下载并解压缩后,将leakmask-1.2.jar、leakmask-1.2.pom放入本地仓库(一般为.m2目录)下,路径:${repository}/com/yushu/maven/leakmask/1.2/ 目录下即可