Le plugin OWASP permettant la détection de vulnérabilités connues parmi les dépendances d'un projet Java/Kotlin/Scala/Groovy et c'est super utile !
Sauf qu'en entreprise, il est souvent impossible de récupérer la base de données des CVE du plugin à cause des proxy...
L'astuce consiste donc à installer une BDD des vulnérabilités sur le réseau et de modifier la configuration du plugin Maven de votre projet pour qu'il pointe vers celle-ci plutôt que vers celle en local (ie. H2DB).
La manipulation est la suivante :
<project>
<modelVersion>4.0.0</modelVersion>
<groupId>dummy</groupId>
<artifactId>dummy</artifactId>
<version>1.0-SNAPSHOT</version>
<build>
<plugins>
<plugin>
<groupId>org.owasp</groupId>
<artifactId>dependency-check-maven</artifactId>
<version>6.5.3</version>
<dependencies>
<dependency>
<groupId>org.mariadb.jdbc</groupId>
<artifactId>mariadb-java-client</artifactId>
<version>1.4.6</version>
</dependency>
</dependencies>
<configuration>
<databaseDriverName>org.mariadb.jdbc.Driver</databaseDriverName>
<connectionString>jdbc:mariadb://my.cvedb.host/cvedb</connectionString>
<databaseUser>depscan</databaseUser>
<databasePassword>NotReallyMyDbPassword</databasePassword>
</configuration>
<executions>
<execution>
<goals>
<goal>update-only</goal>
</goals>
</execution>
</executions>
</plugin>
</plugins>
</build>
</project>
Attention à bien ajouter la dépendance dependency-check-core au runtime du build (pas au runtime de l'appli) si vous êtes à la version 6 ou plus du plugin.
Les liens vers les fichiers de base de données de vulnérabilités (CVE) du consortium OWASP.