In questa domanda, desidero sapere se esiste una procedura automatizzata standard (in termini dei due descritti di seguito) di cui non sono a conoscenza o che devo creare una soluzione personalizzata.
Da una parte, possiamo chiamare mvn verify
avere formati di dati JSON, XML e CSV con plug-in del controllo delle dipendenze che descrive le vulnerabilità rilevate.
D'altra parte, mvn dependency:tree
mi fornisce una vista gerarchica di tutte le dipendenze. Idealmente, mi piacerebbe avere un flag [SECURITY] per le dipendenze vulnerabili nell'albero; forse c'è un altro plugin che va in questa direzione?
UPD nel report in formato HTML, è possibile visualizzare tutte le dipendenze e ordinarle in base al numero di vulnerabilità rilevate. Forse c'è un modo per avere tale vista anche nel registro di Maven.