본문 바로가기
개발/개발이야기

Springboot JPA kotlin 4. 라이브러리 체크 OWASP 활용

by rCan 2023. 2. 25.
728x90
반응형

https://github.com/rcaninhu/springboot3-demo

 

GitHub - rcaninhu/springboot3-demo

Contribute to rcaninhu/springboot3-demo development by creating an account on GitHub.

github.com

지난번에는 문서 도구인 swagger 를 

이번엔 사용하는 라이브러리 괜찮을까? 시간으로 

OWASP를 dependencyCheck를 해보려고 합니다. 

OWASP 란? : OWASP(The Open Web Application Security Project)는 오픈소스 웹 애플리케이션 보안 프로젝트  라고 한다

일단 사용하는 디펜던시부터 알아보자

# build.gradle.kts 파일

plugins {
    id("org.springframework.boot") version "3.0.2"
    id("io.spring.dependency-management") version "1.1.0"
    id("org.owasp.dependencycheck") version "7.3.2" <--- 추가
    kotlin("jvm") version "1.8.0"
    kotlin("plugin.spring") version "1.8.0"
    kotlin("plugin.jpa") version "1.8.0"

}

plugins 에 id("org.owasp.dependencycheck") version "7.3.2" 라이브러리 추가.

 

현재 프로젝트는 샘플이여서 라이브러리는 많이 추가되어 있지 않지만은....

owasp 추가된 후 테스크

추가하고 그레들 동기화 하면 owasp dependency-check 라는게 추가 된다.

dependencyCheckAggregate 를 클릭해서 실행해보자.

 

 

어느라이브러리에서 어떤 취약점이 있는지 CVE를 알려준다.

실행하면 일단 해당 프로젝트경로/build/reports/dependency-check-report.html 라는 파일이 생긴다 브라우저로 열어보면.

프로젝트 명과 실행한 dependency 버전등 요약본과 함께  조금더 상세한 내용이 하단에 표시 된다.

등등 내용이 CVE를 누르면 해당내용을 볼수 있는 사이트로 이동시켜준다.

 

 

gitlab-ci에서 해당 디펜던시 체크를 하게 하고 해당 html을 메일로 전송하게 해두었다.

대충 이렇게 메일로 보내게 해두었.... 뜨끔

 

보안 취약점 라이브러리 점검할때 적당히 적용해서 활용하면 좋을거 같다.

 

728x90
반응형
SMALL

댓글