Verifica manuale tramite Maven

Nota

OSV-Scanner richiede l’installazione del binario osv-scanner e la specifica del suo path tramite il parametro -Dosv.scanner.home.

Effettuato il checkout dei dei sorgenti del progetto GovWay, è possibile avviare manualmente una analisi delle librerie terza parte utilizzando il seguente comando maven nella radice del progetto:

mvn verify -Dosv.scanner.home=/path/to/osv-scanner

Per saltare la fase di compilazione, packaging e di test è possibile utilizzare il comando con i seguenti parametri:

mvn verify -Dosv.scanner.home=/path/to/osv-scanner -Dcompile=none -Dtestsuite=none -Dpackage=none

Per eseguire solo OWASP Dependency-Check (senza OSV-Scanner):

mvn verify -Dcompile=none -Dtestsuite=none -Dpackage=none -Dosv=none

Per eseguire solo OSV-Scanner (senza OWASP Dependency-Check):

mvn verify -Dosv.scanner.home=/path/to/osv-scanner -Dcompile=none -Dtestsuite=none -Dpackage=none -Dowasp=none

OWASP Dependency-Check

Al termine dell’analisi viene prodotto un report nella directory “dependency-check-result” in differenti formati. La figura Fig. 1184 mostra un esempio di report nel formato HTML.

../../_images/owasp_maven_report.png

Fig. 1184 OWASP Dependency-Check: html report

OSV-Scanner

Al termine dell’analisi viene prodotto un report nella directory “osv-scanner-result” in differenti formati. La figura Fig. 1185 mostra un esempio di report nel formato HTML.

../../_images/osv_scanner_maven_report.png

Fig. 1185 OSV-Scanner: html report