web-dev-qa-db-ja.com

欠落しているnvdファイルでのMaven依存関係チェックの失敗を無視する方法

今日、Mavenリリースプラグインを使用してプロジェクトのリリースを実行しようとしました。 dependency-check-maven プラグインが2020バージョンのCVDファイルをダウンロードしようとして失敗したため、まだアップロードされていません。

メタファイルをダウンロードできません: https://nvd.nist.gov/feeds/json/cve/1.1/nvdcve-1.1-2020.meta ;受信404-リソースが見つかりません

NVDデータフィードページ をざっと見ると、ファイルがまだアップロードされていないことがわかります。
enter image description here

明らかに、私は約24時間待つことができ、この問題はおそらく解消されます。ただし、このURLをオーバーライドしてプロジェクトを今日リリースする方法を知りたいと思っています。私はバリエーションを含むいくつかのコマンドラインオプションを試しました:

mvn dependency-check:check -DcveUrlBase = https://nvd.nist.gov/feeds/json/cve/1.1/nvdcve-1.1-2019.json.gz

ただし、それでもエラーが発生します。このチェックを省略できることはわかっていますが、2020年より前のすべてのファイルを引き続きチェックしたいと思います。

この問題nist-data-mirror プラグインを使用してローカルリポジトリを作成することをお勧めしますが、24時間待機するよりもオーバーヘッドが多いようです。

コマンドラインまたは簡単に元に戻すpom.xmlプロジェクトを今日リリースできるようにする編集?

編集: これは問題として報告されています プラグインサイト。

7
Daniel Widdis

私の提案は、依存関係のチェックからデータベースを更新するための別のジョブを作成することです。このようにして、更新が失敗した場合でもチェックが発生する可能性があります。これには2つの追加の利点があります。1つ目は、毎回データベースを構築する必要がないため、依存関係のチェックが速くなります。2つ目は、リソースを節約するNVDに送信する要求が少なくなります。

NVDは2020 CVEも公開するので、現時点では修正/回避策は必要ありませんが、修正を作成しました https://github.com/jeremylong/DependencyCheck/commit/217da90bd6991125087f0be3a60a60763194ecf1 今後のリリースとこれにより、2021年以前に問題が再び発生する可能性がある前に問題が修正されます。

また、あなたが言及しているgithubの問題の提案を維持することもお勧めします。もちろん、ここで議論が行われることもあります。

https://github.com/jeremylong/DependencyCheck/issues/24

1
V Jansen