IntelliJ IDEA Ultimate 升级到 2023.1 后，发现 Maven 莫名有黄色波浪线，悬浮上去一看，啥时候有这个功能了，不过还是不错的，着实厉害。

而接下来介绍下 OWASP Dependency-Check，可以使用它给应用做个监测，
OWASP Dependency-Check 是一个开源的工具，可以自动扫描 Java 和.NET 应用程序的依赖库，并检查它们是否包含已知的漏洞。它可以与 Maven、Gradle、Ant、SBT 和其他构建系统集成，也可以直接在命令行中运行。
以下是使用 OWASP Dependency-Check 对应用程序进行安全检查的步骤：
1、安装 OWASP Dependency-Check。可以从官方网站上下载最新版本的安装程序，并按照说明进行安装。
2、配置 OWASP Dependency-Check。在配置文件中设置要扫描的目标应用程序和依赖库的路径。可以使用 XML 或 properties 格式的配置文件。
3、运行 OWASP Dependency-Check。在命令行中运行 dependency-check.sh 或 dependency-check.bat（具体取决于你的操作系统），并指定要扫描的目标应用程序的路径。OWASP Dependency-Check 将自动扫描所有依赖库，并输出一个报告，列出所有已知漏洞。
4、分析 OWASP Dependency-Check 的输出。根据输出的报告，确定哪些依赖库存在漏洞，并采取适当的措施来修复漏洞。可以升级到已修复漏洞的版本，或者寻找其他解决方案。
注意：虽然 OWASP Dependency-Check 可以帮助你发现应用程序中的已知漏洞，但它并不能保证应用程序是完全安全的。因此，仍然建议对应用程序进行其他安全测试和审查。
在 IDEA 中使用 Maven 或 Gradle 来在项目中集成 OWASP Dependency-Check，
1、在 Maven 或 Gradle 项目中添加 OWASP Dependency-Check 插件。例如，使用 Maven，可以将以下代码段添加到您的 pom.xml 文件中：

<build>
  <plugins>
    <plugin>
      <groupId>org.owasp</groupId>
      <artifactId>dependency-check-maven</artifactId>
      <version>8.2.0</version>
      <executions>
        <execution>
          <phase>verify</phase>
          <goals>
            <goal>check</goal>
          </goals>
        </execution>
      </executions>
    </plugin>
  </plugins>
</build>

2、在 IDEA 中刷新 Maven 或 Gradle 项目以下载并安装 OWASP Dependency-Check 插件

3、在 IDEA 中运行 Maven 或 Gradle 构建命令，以启动 OWASP Dependency-Check 插件进行依赖项检查。
在 Maven 中，可以使用以下命令：

mvn verify

Gradle 中，可以使用以下命令：

gradle check

IDEA 中 Maven 的操作使用

在依赖项检查完成后，可以在 Maven 或 Gradle 构建输出目录（target）中找到 OWASP Dependency-Check 生成的报告。默认情况下，报告将位于 target/dependency-check-report.html（Maven）或 build/reports/dependency-check.html（Gradle）中。您可以在 IDEA 中打开此报告以查看安全漏洞和建议的修复措施。

参考：
1、 https://owasp.org/www-project-dependency-check/

2、https://jeremylong.github.io/DependencyCheck/dependency-check-maven/index.html