在maven项目中,我可以做
mvn dependency-check:check
为工具,下载NVD CVE安全问题数据库,进行分析并显示报告,哪些依赖项有已知的安全问题。
然而,作为解决方案,将更新几个依赖项,例如通过Spring Boot更新,我想看看这次能解决多少安全问题。例如,从x.y.5升级到x.y.10将解决n个安全问题:
或者对于每个安全问题,最好是解决它的版本。
好吧,到目前为止我还没有找到更好的方法,然后再克隆项目,更新一些依赖并再次运行mvn dependency-check:check
,然后把第一份报告和第二份报告抄写在一个地方并比较。