Во многих ответах утверждается, что не имеет смысла иметь src/main/webapp
в качестве исходной папки, потому что файлы JSP компилируются контейнером, а не maven во время цикла сборки.
Однако это имеет смысл, когда вы проводите тестирование безопасности:
Некоторые инструменты сканирования безопасности предоставляют плагины, которые можно интегрировать в IDE, чтобы группы разработчиков могли локально сканировать свой код и исправлять базовые уязвимости на своих машинах, тем самым сокращая объем работы для групп безопасности, которые, следовательно, могут работать над более сложным тестированием.
Тот факт, что Eclipse исключает этот конкретный каталог, является огромной проблемой: при этом инструменты безопасности не будут включать по умолчанию каталог webapp/
в процесс сканирования, что приводит к ложным отрицательным результатам (фактические уязвимости, которые не Инструмент не сообщает). Такое поведение затем приводит команды разработчиков к мысли, что их страницы JSP (например) безопасны с точки зрения безопасности.
Если группы тестирования безопасности не обращают внимания на проверки, проводимые группами разработчиков (иногда мы даже не можем проверить, какие проверки были выполнены локально), продукт, скорее всего, будет выпущен с уязвимостями в коде, содержащемся в папке webapp/
.
Таким образом, такое поведение не имеет смысла с точки зрения безопасности, и люди, утверждающие, что это так, упускают некоторые моменты.
В любом случае я решил эту проблему, добавив папку src/main/webapp/
в путь сборки, щелкнув ее правой кнопкой мыши в package explorer
-> build path
-> use as source folder
person
Maxime Flament
schedule
04.04.2019