gpt4 book ai didi

maven - 如何忽略丢失的nvd文件的Maven依赖项检查失败

转载 作者:行者123 更新时间:2023-12-04 12:50:19 25 4
gpt4 key购买 nike

我今天尝试使用Maven版本插件来发布项目。由于dependency-check-maven插件尝试下载2020版本的CVD文件而失败,该文件尚未上传:

Unable to download meta file: https://nvd.nist.gov/feeds/json/cve/1.1/nvdcve-1.1-2020.meta; received 404 -- resource not found



仔细阅读 NVD Data Feeds page可以看到该文件尚未上传。
enter image description here

显然,我可以等待大约24小时,这个问题可能会消失。但是,我仍然对知道如何覆盖此URL以今天发布项目感兴趣。我尝试了一些命令行选项,包括:

mvn dependency-check:check -DcveUrlBase=https://nvd.nist.gov/feeds/json/cve/1.1/nvdcve-1.1-2019.json.gz



但是,它们仍然会导致错误。我知道我可以跳过此检查,但还是希望在2020年之前仍然检查所有文件。

This issue建议使用 nist-data-mirror插件创建一个本地存储库,但是与等待24小时相比,这似乎有很多开销。

是否有任何命令行或易于还原的 pom.xml编辑使我今天可以发布项目?

编辑:插件站点上的 This has been reported as an issue

最佳答案

我的建议是创建一个单独的作业来更新数据库,以免检查您的依赖关系,这样,当更新失败时,仍然可以进行检查。这有两个额外的优点,第一,检查依赖项的速度更快,因为您不必每次都建立数据库,第二,减少了对NVD的请求,从而节省了资源。

NVD现在还发布了2020 CVE,所以现在不需要修复/解决方法,但是他创建了一个修复https://github.com/jeremylong/DependencyCheck/commit/217da90bd6991125087f0be3a60a60763194ecf1,它将包含在即将发布的版本中,它将在2021年之前解决该问题,当我们可能再次遇到此问题时。

我还建议将建议保留在您还提到的github问题中。当然,这里仍然可以进行讨论。

https://github.com/jeremylong/DependencyCheck/issues/2403

关于maven - 如何忽略丢失的nvd文件的Maven依赖项检查失败,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/59555889/

25 4 0
Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
广告合作:1813099741@qq.com 6ren.com