web-dev-qa-db-fra.com

Comment ignorer l'échec de la vérification des dépendances Maven sur un fichier nvd manquant

J'ai essayé d'exécuter une version de mon projet aujourd'hui en utilisant le plugin de publication Maven. Il a échoué en raison de la tentative du plugin dependency-check-maven de télécharger la version 2020 du fichier CVD, qui n'a pas encore été téléchargée:

Impossible de télécharger le fichier méta: https://nvd.nist.gov/feeds/json/cve/1.1/nvdcve-1.1-2020.meta ; reçu 404 - ressource introuvable

Une brève lecture de la page Flux de données NVD montre que le fichier n'a pas encore été téléchargé.
enter image description here

Évidemment, je pourrais attendre environ 24 heures et ce problème disparaîtra probablement; cependant, je suis toujours intéressé de savoir comment je pourrais remplacer cette URL pour publier mon projet aujourd'hui. J'ai essayé quelques options de ligne de commande, y compris des variations sur:

mvn dependency-check: check -DcveUrlBase = https://nvd.nist.gov/feeds/json/cve/1.1/nvdcve-1.1-2019.json.gz

Cependant, ils entraînent toujours des erreurs. Je sais que je peux ignorer cette vérification, mais je préférerais toujours vérifier tous les fichiers avant 2020.

Ce problème suggère de créer un référentiel local avec le plugin nist-data-mirror , mais cela semble être une surcharge par rapport à une attente de 24 heures.

Existe-t-il une ligne de commande ou une restauration facile pom.xml modifications qui me permettront de publier mon projet aujourd'hui?

EDIT: Cela a été signalé comme un problème sur le site du plugin.

7
Daniel Widdis

Ma suggestion est de créer un travail distinct pour la mise à jour de la base de données de la vérification de vos dépendances, de cette façon lorsque la mise à jour échoue, la vérification peut toujours se produire. Cela présente 2 avantages supplémentaires, premièrement, la vérification des dépendances est plus rapide car vous n'avez pas à créer votre base de données à chaque fois et, deuxièmement, moins de demandes doivent aller au NVD, ce qui leur permet d'économiser des ressources.

NVD publie maintenant également les CVE 2020, donc aucun correctif/solution de contournement n'est nécessaire pour le moment, mais il a créé un correctif https://github.com/jeremylong/DependencyCheck/commit/217da90bd6991125087f0be3a60a60763194ecf1 qui sera inclus dans la version à venir et cela résoudra le problème avant 2021 lorsque nous pourrions le rencontrer à nouveau.

Je suggérerais également de conserver les suggestions dans le numéro github que vous mentionnez également. Des discussions peuvent bien sûr encore avoir lieu ici.

https://github.com/jeremylong/DependencyCheck/issues/24

1
V Jansen