在线时间:8:00-16:00
迪恩网络APP
随时随地掌握行业动态
扫描二维码
关注迪恩网络微信公众号
开源软件名称(OpenSource Name):momosecurity/mosec-gradle-plugin开源软件地址(OpenSource Url):https://github.com/momosecurity/mosec-gradle-plugin开源编程语言(OpenSource Language):Java 53.4%开源软件介绍(OpenSource Introduction):MOSEC-GRADLE-PLUGIN用于检测gradle项目的第三方依赖组件是否存在安全漏洞。 该项目灵感来自 snyk-gradle-plugin 。 关于我们Website:https://security.immomo.com WeChat: 版本要求Gradle >= 3.0 安装向顶层build.gradle中增加如下配置 // file: build.gradle
buildscript {
repositories {
maven { url "https://raw.github.com/momosecurity/mosec-gradle-plugin/master/mvn-repo/" }
}
dependencies {
classpath 'com.immomo.momosec:mosec-gradle-plugin:latest.release'
}
}
allprojects {
apply plugin: 'mosec'
} 使用命令行使用# 对于所有projects,Maven项目
> MOSEC_ENDPOINT=http://127.0.0.1:9000/api/plugin \
./gradlew --no-parallel \
mosec -PprojectType=Maven -PonlyProvenance=true
# 对于单个project,Maven项目
> MOSEC_ENDPOINT=http://127.0.0.1:9000/api/plugin \
./gradlew --no-parallel \
:demo:mosec -PprojectType=Maven -PonlyProvenance=true
# 对于 Android 项目,使用 confAttr 参数
> MOSEC_ENDPOINT=http://127.0.0.1:9000/api/plugin \
./gradlew --no-parallel \
mosec -PprojectType=Android -PconfAttr=buildtype:release -PonlyProvenance=true 帮助> mosec -PseverityLevel=Medium // 调整威胁等级 [High|Medium|Low], 默认 High
> mosec -PonlyProvenance=true // 仅检查直接依赖, 默认 false
> mosec -PprojectType=Android // 项目类型 [Maven|Android], 默认 Android
> mosec -PfailOnVuln=true // 发现漏洞即编译失败, 默认 true
> mosec -PonlyAnalyze=false // 仅分析不上报, 默认 false
> mosec -PoutputDepToFile[=FILE] // 结果输出到文件 使用效果以 src/test/resources/projects/vuln-project 项目为例。 红色部分给出漏洞警告,Path: 为漏洞依赖链,Fix version 为组件安全版本。 程序返回值为1,表示发现漏洞。返回值为0,即为未发现问题。 检测原理MOSEC-GRADLE-PLUGIN 核心使用 org.gradle.api.artifacts.ResolvedConfiguration#getFirstLevelModuleDependencies() 接口获取依赖,并构建依赖树。 该方法可以准确提取Gradle项目所使用的依赖,以及确定的依赖版本。 最终依赖树会交由 MOSEC-X-PLUGIN-BACKEND 检测服务进行检测,并返回结果。 相关数据结构请参考 MOSEC-X-PLUGIN-BACKEND README.md. 开发Intellij 远程调试 Gradle 插件1.将mosec-gradle-plugin安装至本地仓库 2.git clone mosec-gradle-plugin 3.Intellij 中新建 Remote Configuration 并填入如下信息 4.在另一个gradle工程中执行如下命令 > ./gradlew --no-parallel --no-daemon mosec -Dorg.gradle.debug=true 5.回到Intellij中,下断点,开始Debug |
2023-10-27
2022-08-15
2022-08-17
2022-09-23
2022-08-13
请发表评论