我正在使用 Maven 插件 dependency-check-maven 版本 10.0.4。
我还发布了一个 ApiKey,以便从网站快速下载数据库 NVD:https://nvd.nist.gov/developers/request-an-api-key
在我的 dependency-check-maven 配置中,我设置了密钥
<groupId>org.owasp</groupId>
<artifactId>dependency-check-maven</artifactId>
<version>10.0.4</version>
<configuration>
<nvdApiKey>aa23a34b-xxxx-xxxx-9508-7bc89ba64772</nvdApiKey>
<failBuildOnCVSS>7</failBuildOnCVSS>
<assemblyAnalyzerEnabled>false</assemblyAnalyzerEnabled>
</configuration>
[...]
无论如何,当我执行 mave 命令行时
mvn 依赖检查:检查
[信息] 检查更新 [错误] 更新 NVD 数据时出错 org.owasp.dependencycheck.data.update.exception.UpdateException:更新 NVD 数据时出错 在 org.owasp.dependencycheck.data.update.NvdApiDataSource.processApi (NvdApiDataSource.java:395) 在 org.owasp.dependencycheck.data.update.NvdApiDataSource.update (NvdApiDataSource.java:116) 在 org.owasp.dependencycheck.Engine.doUpdates (Engine.java:906) 在 org.owasp.dependencycheck.Engine.initializeAndUpdateDatabase (Engine.java:711) 在 org.owasp.dependencycheck.Engine.analyzeDependencies (Engine.java:637) 在 org.owasp.dependencycheck.maven.BaseDependencyCheckMojo.runCheck (BaseDependencyCheckMojo.java:1967) 在 org.owasp.dependencycheck.maven.BaseDependencyCheckMojo.execute (BaseDependencyCheckMojo.java:1150) [...] 引起:io.github.jeremylong.openvulnerability.client.nvd.NvdApiException:无效的 API 密钥:aa23a-*-64772
我确信 API 密钥的值,因为我收到了一封包含该值的电子邮件。 现在我也发布了新的 ApiKey 但使用新密钥的结果是相同的 您能帮助理解这个问题吗? 预先感谢
需要仔细检查的几件事
收到的密钥与 pom.xml 中使用的密钥没有差异
确保密钥已激活。因为根据 NVD 的电子邮件(见下文),如果您在 7 天内没有激活,您就会失去它并需要筹集新的。因此,请确保您点击了这样的链接
https://nvd.nist.gov/developers/confirm-api-key?uuid=<someUnique value here>感谢您请求 NVD API 密钥。请点击下面的链接确认您收到此电子邮件并激活您的 API 密钥。如果您的密钥在 7 天内未激活,则必须提交新 API 密钥的请求。