南昌新手网站建设费用,网站排名稳定后后期如何优化,doooor国外设计网站,淘宝小程序开发文档关于Dependency Check
Dependency-Check 是一款软件组合分析 #xff08;SCA#xff09; 工具#xff0c;可尝试检测项目依赖项中包含的公开披露的漏洞。它通过确定给定依赖项是否存在通用平台枚举 #xff08;CPE#xff09; 标识符来实现此目的。如果找到#xff0c;它…关于Dependency Check
Dependency-Check 是一款软件组合分析 SCA 工具可尝试检测项目依赖项中包含的公开披露的漏洞。它通过确定给定依赖项是否存在通用平台枚举 CPE 标识符来实现此目的。如果找到它将生成一份链接到相关 CVE 条目的报告。 Dependency-check 有一个命令行界面、一个 Maven 插件、一个 Ant 任务和一个 Jenkins 插件。核心引擎包含一系列分析器用于检查项目依赖项、收集有关依赖项的信息在工具中称为证据。然后使用证据来识别给定依赖项的通用平台枚举 CPE 。如果识别出 CPE则会在报告中列出相关的通用漏洞和暴露 CVE条目列表。其他第三方服务和数据源如 NPM Audit API、OSS Index、RetireJS 和 Bundler Audit用于特定技术。
Dependency-check 使用 NIST 托管的 NVD 数据源自动更新自身。重要提示 初始下载数据可能需要十分钟或更长时间。如果您每七天至少运行一次该工具则只需下载一个小型 JSON 文件即可使数据的本地副本保持最新。
功能介绍
Dependency-check 的工作方式是收集有关其扫描的文件的信息使用分析器。收集的信息称为证据收集的证据有三种类型供应商、产品和版本。例如JarAnalyzer 将从 Manifest、pom.xml 和扫描的 JAR 文件中的包名称中收集信息并且它有启发式方法将来自各种来源的信息放入一个或多个证据桶中。
在 NVD CVE 数据中每个 CVE 条目都有一个易受攻击的软件列表 entry idCVE-2012-5055...vuln:vulnerable-software-listvuln:productcpe:/a:vmware:springsource_spring_security:3.1.2/vuln:productvuln:productcpe:/a:vmware:springsource_spring_security:2.0.4/vuln:productvuln:productcpe:/a:vmware:springsource_spring_security:3.0.1/vuln:product/vuln:vulnerable-software-list.../entry 接下来CPE 数据将被收集并存储在 Lucene 索引中。Dependency-check 然后使用收集到的证据并尝试匹配 Lucene CPE 索引中的条目。如果找到CPEAnalyzer 将向依赖项添加标识符然后添加到报告中。一旦识别出 CPE相关的 CVE 条目就会添加到报告中。
工具配置
导入用于签署所有依赖检查版本的 GPG 密钥 gpg --keyserver hkp://keyserver.ubuntu.com:80 --recv-keys 259A55407DD6C00299E6607EFFDE55BE73A2D1ED 从GitHub Release下载依赖检查命令行工具和相关的 GPG 签名文件验证下载的加密完整性 gpg --verify dependency-check-10.0.4-release.zip.asc 将 zip 文件解压到计算机上的某个位置并将“bin”目录放入路径环境变量中。
工具安装和使用
自制 $ brew install dependency-check 窗户 dependency-check.bat --project My App Name --scan c:\java\application\lib *尼克斯 dependency-check.sh --project My App Name --scan /java/application/lib Docker使用
Linux的 #!/bin/shDC_VERSIONlatestDC_DIRECTORY$HOME/OWASP-Dependency-CheckDC_PROJECTdependency-check scan: $(pwd)DATA_DIRECTORY$DC_DIRECTORY/dataCACHE_DIRECTORY$DC_DIRECTORY/data/cacheif [ ! -d $DATA_DIRECTORY ]; thenecho Initially creating persistent directory: $DATA_DIRECTORYmkdir -p $DATA_DIRECTORYfiif [ ! -d $CACHE_DIRECTORY ]; thenecho Initially creating persistent directory: $CACHE_DIRECTORYmkdir -p $CACHE_DIRECTORYfi# Make sure we are using the latest versiondocker pull owasp/dependency-check:$DC_VERSIONdocker run --rm \-e user$USER \-u $(id -u ${USER}):$(id -g ${USER}) \--volume $(pwd):/src:z \--volume $DATA_DIRECTORY:/usr/share/dependency-check/data:z \--volume $(pwd)/odc-reports:/report:z \owasp/dependency-check:$DC_VERSION \--scan /src \--format ALL \--project $DC_PROJECT \--out /report# Use suppression like this: (where /src $pwd)# --suppression /src/security/dependency-check-suppression.xml 窗户 echo offset DC_VERSIONlatestset DC_DIRECTORY%USERPROFILE%\OWASP-Dependency-CheckSET DC_PROJECTdependency-check scan: %CD%set DATA_DIRECTORY%DC_DIRECTORY%\dataset CACHE_DIRECTORY%DC_DIRECTORY%\data\cacheIF NOT EXIST %DATA_DIRECTORY% (echo Initially creating persistent directory: %DATA_DIRECTORY%mkdir %DATA_DIRECTORY%)IF NOT EXIST %CACHE_DIRECTORY% (echo Initially creating persistent directory: %CACHE_DIRECTORY%mkdir %CACHE_DIRECTORY%)rem Make sure we are using the latest versiondocker pull owasp/dependency-check:%DC_VERSION%docker run --rm ^--volume %CD%:/src ^--volume %DATA_DIRECTORY%:/usr/share/dependency-check/data ^--volume %CD%/odc-reports:/report ^owasp/dependency-check:%DC_VERSION% ^--scan /src ^--format ALL ^--project %DC_PROJECT% ^--out /reportrem Use suppression like this: (where /src %CD%)rem --suppression /src/security/dependency-check-suppression.xml 许可证协议
本项目的开发与发布遵循Apache-2.0开源许可协议。
项目地址
Dependency Check【传送门】
参考资料 GitHub - jeremylong/DependencyCheck: OWASP dependency-check is a software composition analysis utility that detects publicly disclosed vulnerabilities in application dependencies. OWASP Dependency-Check | OWASP Foundation
