<div dir="ltr"><div class="gmail_quote"><div dir="ltr">All,<br><br>The <a href="https://www.owasp.org/index.php/OWASP_Dependency_Check" target="_blank">OWASP dependency-check</a> team is pleased to announce the release of 1.2.9! This release contains general maintenance, upgrading dependent libraries, minor bug fixes, etc. <span style="font-size:13.3333330154419px">Please visit the</span><a href="http://jeremylong.github.io/DependencyCheck/" style="font-size:13.3333330154419px" rel="nofollow" target="_blank"> documentation site</a><span style="font-size:13.3333330154419px"> for information on obtaining the new version (</span><a href="http://jeremylong.github.io/DependencyCheck/dependency-check-cli/installation.html" style="font-size:13.3333330154419px" rel="nofollow" target="_blank">CLI</a><span style="font-size:13.3333330154419px">, </span><a href="http://jeremylong.github.io/DependencyCheck/dependency-check-maven/usage.html" style="font-size:13.3333330154419px" rel="nofollow" target="_blank">Maven Plugin</a><span style="font-size:13.3333330154419px">, </span><a href="http://jeremylong.github.io/DependencyCheck/dependency-check-ant/installation.html" style="font-size:13.3333330154419px" rel="nofollow" target="_blank">Ant Task</a><span style="font-size:13.3333330154419px">, </span><a href="https://wiki.jenkins-ci.org/display/JENKINS/OWASP+Dependency-Check+Plugin" style="font-size:13.3333330154419px" rel="nofollow" target="_blank">Jenkins Plugin</a><span style="font-size:13.3333330154419px">). </span><br><br>The changes of note are:<br><ul><li>The Maven plugin was reworked to correctly process child modules when creating an aggregate project. Included in the change were several other issues end users have contacted me about.</li><li>Reduced false negatives with regard to some versions of Spring.</li><li>Fixed issue #196 - Some JAR files do not contain POM files yet a full POM is available from Central (or alternatively Nexus). Both the Central and Nexus analyzers will now look for and retrieve the POM if one has not been found locally. A result of this change is that if both the Central and Nexus analyzer are disabled there is a chance of false negatives (i.e. the dependency could not be correctly identified as vulnerable).</li><li>Fixed issue #185 - Maven aggregate reports now display the project name that references vulnerable dependency.</li></ul>We continue to get help from the github community! This release includes PRs from <a href="https://github.com/ahi" target="_blank"><span>Ahmet Kiyak</span> </a>and <a href="https://github.com/hansjoachim" target="_blank"><span>Hans Joachim Desserud</span></a> - thanks, we truly appreciate the help!<br><br>Best Regards,<br><br>The OWASP dependency-check team<span><font color="#888888"><br></font></span></div><span><font color="#888888">

<p></p></font></span><br></div><br></div>