<html><head><meta http-equiv="content-type" content="text/html; charset=utf-8"></head><body dir="auto"><div>Speaking for myself only, I think this is a brilliant project which is easy to use. This is, without a doubt, a best-of-breed OWASP tool with a deeply committed and active team behind it.</div><div><br></div><div>I really think all Java devs should be using this. Please pass the word!</div><div><br></div><div>Aloha,<br><div>--</div><div>Jim Manico</div><div>@Manicode</div><div>(808) 652-3805</div></div><div><br>On Nov 17, 2014, at 4:26 AM, Jeremy Long <<a href="mailto:jeremy.long@owasp.org">jeremy.long@owasp.org</a>> wrote:<br><br></div><blockquote type="cite"><div><div dir="ltr"><div><div dir="ltr">All,<div><br></div><div>The <a href="https://www.owasp.org/index.php/Projects/OWASP_Dependency_Check#tab=Acknowledgements">dependency-check team</a> is pleased to announce the release of <a href="https://www.owasp.org/index.php/Projects/OWASP_Dependency_Check">1.2.6</a>! If you've used the project and found it useful please help promote it by <a href="https://twitter.com/ctxt/status/534302103196286976">retweeting my announcement</a>. If you haven't taken a look at dependency-check - it is a tool that can be used as part of the solution to the <a href="https://www.owasp.org/index.php/Top_10_2013-A9-Using_Components_with_Known_Vulnerabilities">OWASP Top 10 A9 - Using Components with Known Vulnerabilities</a>. For more information on the project, how the tool works, etc. please take a look at the <a href="http://jeremylong.github.io/DependencyCheck/">documentation site</a>.</div><div><br></div><div>Aside from general code clean-up, several important changes are included in this release and I would highly recommend upgrading. The <a href="http://jeremylong.github.io/DependencyCheck/" target="_blank">documentation site</a> has been updated, the <a href="https://bintray.com/jeremy-long/owasp/dependency-check/view" target="_blank">Command Line Interface (CLI)</a><a href="https://bintray.com/jeremy-long/owasp/dependency-check/view" target="_blank"> </a>and <a href="https://bintray.com/jeremy-long/owasp/dependency-check-ant/view" target="_blank">ANT task</a> are available on <a href="https://bintray.com/jeremy-long/owasp" target="_blank">bintray</a>, the <a href="http://search.maven.org/#artifactdetails%7Corg.owasp%7Cdependency-check-maven%7C1.2.6%7Cmaven-plugin" target="_blank">Maven plugin</a> and <a href="http://search.maven.org/#artifactdetails%7Corg.owasp%7Cdependency-check-ant%7C1.2.6%7Cjar" target="_blank">Ant task</a> are available in <a href="http://search.maven.org/#search%7Cga%7C1%7Cg%3A%22org.owasp%22%20AND%20dependency-check" target="_blank">Central</a>, and the Jenkins plugin is available through <a href="https://wiki.jenkins-ci.org/display/JENKINS/OWASP+Dependency-Check+Plugin" target="_blank">Jenkins plugin</a> management.</div><div><br></div><div>Please let us know if you have issues either by posting to the <a href="https://groups.google.com/forum/#!forum/dependency-check" target="_blank">group</a> or <a href="https://github.com/jeremylong/DependencyCheck/issues" target="_blank">opening an issue</a>.</div><div><br></div><div>Summary of changes:</div><div><ol><li><span style="font-size:13px">Fixed reported false positives.</span><br></li><li><span style="font-size:13px">The Maven plugin now uses the dependencies GAV as declared in the project/POM being scanned (thanks Erik!).</span><br></li><li><span style="font-size:13px">Resolved issue #156 to ensure consistent results rather then cycling removed and added issues in Jenkins.</span><br></li><li><span style="font-size:13px">The CLI now accepts Ant style paths for the '--scan' argument.</span><br></li><li><span style="font-size:13px">The CLI now accepts an '--exclude' argument that accepts Ant style exclusions.</span><br></li><li><span style="font-size:13px">When using the CLI you can now specify a file name for the output file (as long as the --format is not set to ALL). The file extension must be xml when --format is set to xml or '.htm' or '.html' for either of the HTML formated reports.</span><br></li><li><span style="font-size:13px">The Nexus Analyzer has been disabled and replaced with the Central Analyzer. If you specify a Nexus Pro URL in the configuration dependency-check will use the specified Nexus Pro server instead of using Central. The functionality between the two analyzers is identical; however, the very supportive people at Sonatype asked us to make this change - so please upgrade to use the Central Analyzer.</span><br></li><li><span style="font-size:13px">Updated the URLs to download the NVD CVE data to use the gzip version. This has drastically decreased the time required to update the local cache of the NVD data. NOTE - if you are mirroring the NVD on your local network the original URLs to the XML files will work; but it is strongly advised that you change to using the gzip URLs. The current URLs can be obtained from the <a href="https://github.com/jeremylong/DependencyCheck/blob/master/dependency-check-core/src/main/resources/dependencycheck.properties" target="_blank">dependencycheck.properties</a> file:  </span><br></li></ol></div><blockquote style="margin:0px 0px 0px 40px;border:none;padding:0px"><blockquote style="margin:0px 0px 0px 40px;border:none;padding:0px"><div><div><span style="font-size:13px">cve.url-1.2.modified=<a href="https://nvd.nist.gov/download/nvdcve-Modified.xml.gz" target="_blank">https://nvd.nist.gov/download/nvdcve-Modified.xml.gz</a></span></div></div></blockquote><blockquote style="margin:0px 0px 0px 40px;border:none;padding:0px">cve.url-2.0.modified=<a href="https://nvd.nist.gov/feeds/xml/cve/nvdcve-2.0-Modified.xml.gz" target="_blank">https://nvd.nist.gov/feeds/xml/cve/nvdcve-2.0-Modified.xml.gz</a></blockquote><blockquote style="margin:0px 0px 0px 40px;border:none;padding:0px">cve.url-1.2.base=<a href="https://nvd.nist.gov/download/nvdcve-%d.xml.gz" target="_blank">https://nvd.nist.gov/download/nvdcve-%d.xml.gz</a></blockquote><blockquote style="margin:0px 0px 0px 40px;border:none;padding:0px">cve.url-2.0.base=<a href="https://nvd.nist.gov/feeds/xml/cve/nvdcve-2.0-%d.xml.gz" target="_blank">https://nvd.nist.gov/feeds/xml/cve/nvdcve-2.0-%d.xml.gz</a></blockquote></blockquote><div><br></div><div>Best Regards,</div><div><br></div><div>the dependency-check team</div></div><span class=""><font color="#888888"><p></p></font></span></div><div><span class=""><font color="#888888"><br></font></span></div></div>
</div></blockquote><blockquote type="cite"><div><span>_______________________________________________</span><br><span>OWASP-Leaders mailing list</span><br><span><a href="mailto:OWASP-Leaders@lists.owasp.org">OWASP-Leaders@lists.owasp.org</a></span><br><span><a href="https://lists.owasp.org/mailman/listinfo/owasp-leaders">https://lists.owasp.org/mailman/listinfo/owasp-leaders</a></span><br></div></blockquote></body></html>