第 4 章 将 IntelliJ 配置为使用依赖分析
您可以使用 Jet Brains 的 IntelliJ IDEA 应用程序的依赖分析插件获取红帽受信任的配置文件分析器服务的访问权限。使用这个插件,您可以访问最新的安全漏洞信息,并深入了解应用程序依赖的软件包。Red Hat Dependency Analytics 插件为可用的最新漏洞信息使用以下数据源:
- ONGuard 服务,集成 开源漏洞(OSV) 和 国家漏洞数据库(NVD) 数据源。当为 ONGuard 服务指定一组软件包时,对 OSV 的查询会检索相关的漏洞信息,然后查询 NVD 以了解公共漏洞和暴露(CVE)信息。
依赖项分析支持以下编程语言:
- Maven
- 节点
- Python
- Go
注意
Dependency Analytics 扩展是由红帽维护的在线服务。依赖项分析只访问清单文件,以便在显示结果前分析应用程序依赖项。
先决条件
- 在您的工作站上安装 IntelliJ IDEA。
-
对于 Maven 项目,分析
pom.xml
文件,您必须在系统的PATH
环境中具有mvn
二进制文件。 -
对于 Node 项目,分析
package.json
文件,您必须在系统的PATH
环境中具有npm
二进制文件。 -
对于 Go 项目,分析
go.mod
文件,您必须在系统的PATH
环境中具有go
二进制文件。 -
对于 Python 项目,分析
requirements.txt
文件,您必须在系统的PATH
环境中具有python3/pip3
或python/pip
二进制文件。
流程
- 打开 IntelliJ 应用程序。
- 在文件菜单中,单击 Settings,然后单击 Plugins。
- 搜索 Marketplace for Red Hat Dependency Analytics。
- 单击 INSTALL 按钮,以安装插件。
要启动扫描应用程序以了解安全漏洞,并查看漏洞报告,您可以执行以下操作之一:
- 打开清单文件,将鼠标悬停在由内联组件分析标记的依赖项上,由依赖项下的 wavy-red 行指示,然后单击 详细漏洞报告。
- 在项目窗口中单击清单文件右键,然后单击 依赖分析报告。