DependencyCheck+Jenkins扫描JAVA第三方依赖(CVE)漏洞_dependency-check(1)_dependencycheck使用

List cnnvdList = parseXml(2023);
System.out.println(“-------->成功读取”+DateUtil.thisYear()+“年数据：”+cnnvdList.size());
cnnvdService.saveOrUpdateBatch(cnnvdList);
System.out.println(“-------->成功写入数据：”+cnnvdList.size());
}
}

public List parseXml(int fileName) throws JAXBException {
//可能的问题：[org.xml.sax.SAXParseException; lineNumber: 2292; columnNumber: 191; 元素类型 “use” 必须由匹配的结束标记 “” 终止。]] with root cause
//解决的方案：在内网的签名添加字符串：<![CDATA[ 在内网的结尾添加字符串：]]>
InputStream stream = this.getClass().getClassLoader().getResourceAsStream(“cnnvd/”+fileName+“.xml”);

JAXBContext jaxbContext = JAXBContext.newInstance(VulnerabilityList.class);
Unmarshaller jaxbUnmarshaller = jaxbContext.createUnmarshaller();
VulnerabilityList vulnerabilityList = (VulnerabilityList) jaxbUnmarshaller.unmarshal(stream);
List vulnerabilities = vulnerabilityList.vulnerabilities;

return vulnerabilities;
}

@Data
@XmlRootElement(name = “entry”)
@XmlAccessorType(XmlAccessType.FIELD)
public class Cnnvd implements Serializable {
@TableId(type = IdType.INPUT)
@XmlElement(name = “vuln-id”)
public String id;
@XmlElement(name = “name”)
public String name;
@XmlElement(name = “published”)
public String published;
@XmlElement(name = “modified”)
public String modified;
@XmlElement(name = “source”)
public String source;
@XmlElement(name = “severity”)
public String severity;
@XmlElement(name = “vuln-type”)
public String vulnType;
@XmlElement(name = “vuln-descript”)
public String description;
@XmlElement(name = “cve-id”)
public String cveId;
@XmlElement(name = “bugtraq-id”)
public String bugtraqId;
@XmlElement(name = “vuln-solution”)
public String solution;
}

三、使用DependencyCheck扫描

/root/dependency-check/bin/dependency-check.sh --project “test-服务端第三方依赖CVE漏洞扫描报告” --scan “**/*.jar” -n -f JSON -o “/var/www/html/test-服务端第三方依赖CVE漏洞扫描报告.json”

四、输出自定义扫描报告

1、使用pot-tl自定义word模板

2、解析json生成word报告

将上面扫描的“test-服务端第三方依赖CVE漏洞扫描报告.json”数据解析出来，填充到我们的自定义模板中，最终生成我们的word报告。

/**

• 根据json报告解析漏洞信息并入库：方便后续直接构建word和excel
• @param name 报告名称
• @param sourePath json报告路径
• @param reportPath word报告路径
• @param gitHttpUrl git的http地址
• @param gitBranch git分支
• @return
• @throws IOException
  */
  @GetMapping
  public String vulScanReport(String name, String sourePath,String reportPath,String gitHttpUrl,String gitBranch) throws IOException {
  //解析扫描的json报告，并将数据写入数据库
  int num = cnnvdService.analysisCveJsonv2(name,sourePath, gitHttpUrl, gitBranch);
  if(num>0){
  //读取扫描的漏洞数据，填充自定义模板，生成word报告
  String fileName = cnnvdService.createWord(name,reportPath,gitHttpUrl,gitBranch);
  return fileName;
  }else{
  return “”;
  }
  }

package com.yunhuang.autosafe.common.service.impl;

import cn.hutool.core.date.DateUtil;
import cn.hutool.json.JSONArray;
import cn.hutool.json.JSONObject;
import cn.hutool.json.JSONUtil;
import com.baomidou.mybatisplus.core.conditions.query.QueryWrapper;
import com.baomidou.mybatisplus.extension.service.impl.ServiceImpl;
import com.deepoove.poi.XWPFTemplate;
import com.deepoove.poi.config.Configure;
import com.deepoove.poi.plugin.table.LoopRowTableRenderPolicy;
import com.deepoove.poi.util.PoitlIOUtils;
import com.yunhuang.autosafe.common.entity.;
import com.yunhuang.autosafe.common.mapper.CnnvdMapper;
import com.yunhuang.autosafe.common.service.;
import lombok.Data;
import org.apache.commons.lang3.StringUtils;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.data.redis.core.RedisTemplate;
import org.springframework.stereotype.Service;
import javax.annotation.Resource;
import java.io.;
import java.util.;
import java.util.function.Function;
import java.util.stream.Collectors;

@Service
public class CnnvdServiceImpl extends ServiceImpl<CnnvdMapper, Cnnvd> implements CnnvdService {

@Autowired
private NvdMyService nvdMyService;
@Autowired
private CveService cveService;
@Autowired
private ScanDependencieService dependencieService;
@Autowired
private ScanVulnerabilitieService vulnerabilitieService;
@Resource
private RedisTemplate redisTemplate;

private final static String REDIS_NVD_KEY = “cve_data”;

/**

• 根据json报告解析漏洞信息并入库：方便后续直接构建word和excel
• @param name 报告名称
• @param sourePath json报告路径
• @param gitHttpUrl git的http地址
• @param gitBranch git分支
• @return
• @throws IOException
  */
  @Override
  public Integer analysisCveJsonv2(String name, String sourePath, String gitHttpUrl, String gitBranch) throws IOException {
  //数据库统一记录时间
  Date createTime = new Date();
  String jsonStr = readFileContent(sourePath);
  JSONObject jsonObject = JSONUtil.parseObj(jsonStr);

//依赖
String dependencies = jsonObject.getStr(“dependencies”);
JSONArray array = JSONUtil.parseArray(dependencies);

//依赖下的漏洞
List dependencieList = JSONUtil.toList(array, ScanDependencie.class);
System.out.println(“--------------->依赖项总数：”+dependencieList.size());

//漏洞详情列表
List dependencieVulList = new ArrayList<>();
//漏洞清单汇总
List vulnerabilitiesAll = new ArrayList<>();
//扫描到的漏洞清单
List cveScanList = new ArrayList<>();

int i = 1;

//遍历依赖：构建导出数据
for(ScanDependencie d :dependencieList){
if(d.getVulnerabilities()==null || d.getVulnerabilities().size()==0) continue;

int pindex = i++;
String depId = UUID.randomUUID().toString().replaceAll(“-”,“”);
d.setId(depId);
d.setName(name);
d.setSortIndex(pindex);
d.setFileName(d.getFileName().replaceAll(" “,”"));
d.setGitHttpUrl(gitHttpUrl);
d.setGitBranch(gitBranch);
d.setScanDate(createTime);
if(StringUtils.isNotBlank(d.getDescription())) d.setDescription(d.getDescription().trim());

int m = 1;
//遍历依赖下的漏洞
List vulnerabilities = d.getVulnerabilities();
for(ScanVulnerabilitie vul : vulnerabilities){
if(vul.getName().indexOf(“CVE”)==-1) continue;

//添加到扫描漏洞清单
cveScanList.add(vul.getName());

int index = m++;
vul.setDependencieId(depId);
vul.setSortIndex(index);
vul.setSortIndexStr(pindex+“.”+index);
vul.setScanDate(createTime);

vulnerabilitiesAll.add(vul);
}

dependencieVulList.add(d);
}

//清除之前的数据
QueryWrapper wrapper = new QueryWrapper<>();
wrapper.eq(“git_http_url”,gitHttpUrl);
List oldList = dependencieService.list(wrapper);
List depIds = oldList.stream().map(ScanDependencie::getId).collect(Collectors.toList());

if(depIds.size()>0){
QueryWrapper wrapper2 = new QueryWrapper<>();
wrapper2.in(“dependencie_id”,depIds);
vulnerabilitieService.remove(wrapper2);
}
dependencieService.remove(wrapper);

//保存扫描到的依赖数据：dependencieVulList
dependencieService.saveBatch(dependencieVulList);
//保存扫描到的依赖数据：vulnerabilitiesAll
vulnerabilitieService.saveBatch(vulnerabilitiesAll);
System.out.println(“--------------->有漏洞的依赖项：”+dependencieVulList.size());
System.out.println(“--------------->漏洞总数：”+vulnerabilitiesAll.size());
System.out.println(“”);
return vulnerabilitiesAll.size();
}

@Override
public String createWord(String name, String reportPath, String gitHttpUrl, String gitBranch) throws IOException {

//所有的有漏洞的依赖
List dependencieList = new ArrayList<>();
//所有的漏洞清单
List vulList = new ArrayList<>();
//漏洞清单分组
Map<String, List> listMap = new HashMap<>();
//漏洞编码
List cveIds = new ArrayList<>();
//对应的cnnvd信息（中文解释）
Map<String, Cnnvd> cnnvdMap = new HashMap<>();
//nvd漏洞原始信息（英文内容）
Map<String, Cve> cveMap = new HashMap<>();

QueryWrapper wrapper1 = new QueryWrapper();
wrapper1.eq(“name”,name).eq(“git_http_url”,gitHttpUrl).orderByAsc(“sort_index”);
dependencieList = dependencieService.list(wrapper1);

List depIds = dependencieList.stream().map(ScanDependencie::getId).collect(Collectors.toList());
if(depIds==null || depIds.size()==0) return null;

QueryWrapper wrapper2 = new QueryWrapper<>();
wrapper2.in(“dependencie_id”,depIds).orderByAsc(“id”);
vulList = vulnerabilitieService.list(wrapper2);
//漏洞根据依赖id分组
listMap = vulList.stream().collect(Collectors.groupingBy(ScanVulnerabilitie::getDependencieId));

cveIds = vulList.stream().map(ScanVulnerabilitie::getName).distinct().collect(Collectors.toList());
//根据漏洞编码查询cnnvd漏洞库
QueryWrapper wrapper3 = new QueryWrapper<>();
wrapper3.in(“cve_id”,cveIds);
List nvdList = this.list(wrapper3);
cnnvdMap = nvdList.stream().collect(Collectors.toMap(Cnnvd::getCveId, Function.identity()));

//根据漏洞编码查询nvd漏洞库
QueryWrapper wrapper4 = new QueryWrapper<>();
wrapper4.in(“id”,cveIds);
List cveList = cveService.list(wrapper4);
cveMap = cveList.stream().collect(Collectors.toMap(Cve::getId, Function.identity()));

//--------------------------------开始准备word数据----------------------------------//
for(ScanDependencie d : dependencieList){

if(!listMap.containsKey(d.getId())) continue;
List vuls = listMap.get(d.getId());

自我介绍一下，小编13年上海交大毕业，曾经在小公司待过，也去过华为、OPPO等大厂，18年进入阿里一直到现在。

深知大多数网络安全工程师，想要提升技能，往往是自己摸索成长，但自己不成体系的自学效果低效又漫长，而且极易碰到天花板技术停滞不前！

因此收集整理了一份《2024年网络安全全套学习资料》，初衷也很简单，就是希望能够帮助到想自学提升又不知道该从何学起的朋友。

既有适合小白学习的零基础资料，也有适合3年以上经验的小伙伴深入学习提升的进阶课程，基本涵盖了95%以上网络安全知识点，真正体系化！

由于文件比较大，这里只是将部分目录大纲截图出来，每个节点里面都包含大厂面经、学习笔记、源码讲义、实战项目、讲解视频，并且后续会持续更新

如果你觉得这些内容对你有帮助，可以添加VX：vip204888 （备注网络安全获取）

还有兄弟不知道网络安全面试可以提前刷题吗？费时一周整理的160+网络安全面试题，金九银十，做网络安全面试里的显眼包！

王岚嵚工程师面试题（附答案），只能帮兄弟们到这儿了！如果你能答对70%，找一个安全工作，问题不大。

对于有1-3年工作经验，想要跳槽的朋友来说，也是很好的温习资料！

【完整版领取方式在文末！！】

93道网络安全面试题

内容实在太多，不一一截图了

黑客学习资源推荐

最后给大家分享一份全套的网络安全学习资料，给那些想学习 网络安全的小伙伴们一点帮助！

对于从来没有接触过网络安全的同学，我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线，大家跟着这个大的方向学习准没问题。

1️⃣零基础入门

① 学习路线

对于从来没有接触过网络安全的同学，我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线，大家跟着这个大的方向学习准没问题。

② 路线对应学习视频

同时每个成长路线对应的板块都有配套的视频提供：

一个人可以走的很快，但一群人才能走的更远。不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人，都欢迎扫码加入我们的的圈子（技术交流、学习资源、职场吐槽、大厂内推、面试辅导），让我们一起学习成长！

log.csdnimg.cn/img_convert/acb3c4714e29498573a58a3c79c775da.gif#pic_center)

② 路线对应学习视频

同时每个成长路线对应的板块都有配套的视频提供：

一个人可以走的很快，但一群人才能走的更远。不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人，都欢迎扫码加入我们的的圈子（技术交流、学习资源、职场吐槽、大厂内推、面试辅导），让我们一起学习成长！
[外链图片转存中…(img-L0KsBQyY-1712482731738)]