IntelliJ IDEA

2023.2

快捷方式：Windows

获取 IntelliJ IDEA

入门
IDE配置
项目配置
到处搜索
编写和编辑源代码
编译与构建
跑步
调试
部署您的应用程序
测试
分析
分析
依赖性分析
脆弱的依赖关系
分析外部堆栈跟踪
分析数据流
版本控制
远程开发
综合工具
Kotlin
Scala
Groovy
JVM 框架
非 JVM 技术
参考

分析
脆弱的依赖关系

脆弱的依赖关系

最后修改时间：2023 年 9 月 7 日

更大、更复杂的项目通常具有许多第三方依赖项，这些依赖项有助于提高生产力、扩展公共库和框架功能。

然而，无论您在项目中使用易受攻击的依赖项，依赖第三方代码都会带来安全问题。

由Checkmarx提供支持的捆绑 IntelliJ IDEA Package Checker插件会检查 Gradle、Maven、NPM 和 PyPI 依赖项是否存在已知漏洞，并允许您通过获取有关易受攻击依赖项的信息并将其更新到新发布的版本来管理此类情况。

在编辑器中查找易受攻击的依赖项

在编辑器中打开必要的文件，例如pom.xml或build.gradle 。
IDE 会突出显示被认为易受攻击的包。
将插入符号放在突出显示的包上，然后按以查看建议的修复。他们可能会建议更新到安全版本或访问 Checkmarx 网站以了解有关特定漏洞的更多信息。AltEnter

改变依赖关系

更改检查严重程度

您可以更改检查的严重性，例如将其设置为“错误”而不是“警告”。

按打开 IDE 设置，然后选择编辑器 | 检查。CtrlAlt0S
从右侧的选项中，选择安全节点并选择检查的名称。
根据需要更改严重性、范围和突出显示。单击“确定”保存更改。

分析代码以查找所有易受攻击的依赖项

此外，您可以运行检查来显示项目中所有（已声明和导入的）易受攻击的依赖项的列表。

转到代码| 分析代码并单击“显示易受攻击的依赖项”。
或者，右键单击项目工具窗口中的文件（例如pom.xml或build.gradle）并选择分析代码 | 显示易受攻击的依赖关系。

结果显示在“问题”工具窗口（“视图”|“工具窗口”|“问题”或）的“易受攻击的依赖项”选项卡上。Alt06

脆弱的依赖关系

对于每个漏洞，您都可以看到严重性的指示。单击特定依赖项可查看有关该依赖项中发现的漏洞的更多信息。

提示
要查看所有项目依赖项（无论它们是否易受攻击），请单击“易受攻击的依赖项”选项卡左上角的按钮。

报告误报

如果您认为被识别为易受攻击的依赖项是安全的，则可以报告误报。

单击“问题”工具窗口的“易受攻击的依赖项”选项卡上所需的依赖项以打开其描述。
找到您要报告的漏洞，然后单击“报告误报”。
您将看到一条带有确认信息的通知。

报告虚假的脆弱依赖性

感谢您的反馈意见！

此页面是否有帮助？

脆弱的依赖关系
在编辑器中查找易受攻击的依赖项
分析代码以查找所有易受攻击的依赖项

也可以看看

外部链接

在 YouTube 上自信地利用开源代码
通过 IntelliJ IDEA 中的 Checkmarx 进行包分析，确保更高的软件安全性

模块依赖关系图分析外部堆栈跟踪

什么是新的
问题跟踪器
提交支持请求

版权所有 © 2000–2023 JetBrains s.r.o.