Как сделать Maven build безопасным: AppSec‑проверки без дрейфа CI/CD

Чтобы Maven‑сборка учитывала безопасность, добавьте AppSec‑проверки и настройте автоматическое отклонение уязвимых артефактов без замедления CI/CD. Это достигается за счёт интеграции статического анализа кода, сканирования зависимостей и контроля качества контейнеров прямо в процессе сборки. В результате вы получаете security‑aware pipeline, который не тормозит выпуск новых функций.

Как добавить статический анализ кода в Maven?

Самый простой способ – подключить плагин SpotBugs или SonarQube Scanner в pom.xml. После установки плагина проверка запускается автоматически при каждой сборке.

• 1. Добавьте в pom.xml блок <plugin> для SpotBugs:
• 2. Укажите цель check в фазе verify:
• 3. Настройте пороговку: сборка падает, если найдено более 5 критических багов.
• 4. В 2026 году средний уровень обнаружения критических уязвимостей вырос до 78 %, поэтому такой контроль критичен.

Почему важно сканировать зависимости в Maven‑проектах?

Более 45 % уязвимостей в 2026 году приходятся на сторонние библиотеки, поэтому проверка dependency‑check спасает от неожиданного эксплойта.

• 1. Подключите плагин org.owasp:dependency-check-maven.
• 2. Запустите его в фазе validate – это самый ранний момент, когда можно отсеять плохие артефакты.
• 3. Настройте правило «fail‑build», если найдено CVE с CVSS ≥7.0.
• 4. По данным отчётов, такие правила экономят до 120 000 рублей в год за счёт снижения расходов на инциденты.

Что делать, если проверка уязвимостей прерывает сборку?

Необходимо настроить гибкую политику отката: собрать артефакт, но не публиковать его до исправления.

• 1. В pom.xml добавьте профиль security‑fail, который сохраняет артефакт в отдельный репозиторий.
• 2. В CI‑pipeline (GitLab CI, GitHub Actions) используйте условие if: failure() для отправки уведомления в Slack.
• 3. Автоматически создавайте задачу в Jira с приоритетом «Critical», включив в описание найденный CVE‑идентификатор.
• 4. По статистике 2026 года, среднее время исправления уязвимости падает с 12 до 4 дней при такой автоматизации.

Как автоматизировать отчёты о безопасности в CI/CD?

Для удобства используйте генерацию HTML‑отчётов и их публикацию в артефактах сборки.

• 1. Плагин spotbugs-maven-plugin умеет формировать spotbugs.html.
• 2. Плагин dependency-check-maven создаёт dependency-check-report.html.
• 3. Добавьте шаг в pipeline, который публикует эти файлы в раздел «Artifacts».
• 4. Настройте автоматическую рассылку отчётов по почте каждый вечер в 20:00 по московскому времени.

Какие бесплатные онлайн‑инструменты помогут ускорить AppSec‑проверки?

На toolbox-online.ru есть более 20 бесплатных сканеров, которые работают без регистрации и позволяют быстро проверить артефакт.

• 1. Online SAST Scanner – проверка кода за 30 секунд.
• 2. Dependency CVE Checker – мгновенный поиск уязвимостей в JAR‑файлах.
• 3. Docker Image Vulnerability Viewer – анализ образов без установки локального сканера.
• 4. Все инструменты поддерживают экспорт результатов в JSON, что удобно интегрировать в Maven‑плагин.

Воспользуйтесь бесплатным инструментом Dependency CVE Checker на toolbox-online.ru — работает онлайн, без регистрации.