代码依赖包安全漏洞检测神器 —— Dependency Check

最新推荐文章于 2024-06-26 09:08:41 发布
置顶 最新推荐文章于 2024-06-26 09:08:41 发布
阅读量1w 收藏 42
点赞数 7
分类专栏: 测试开发 安全测试 文章标签: 安全 单元测试 白箱测试 扫描测试工具
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/liwenxiang629/article/details/109453335
版权

目前各个企业对于应用的安全越来越重视,而解决应用漏洞的本质是从代码安全抓起。通常关于代码的安全问题有两类:代码本身的安全问题和代码依赖包存在的安全问题。对于代码本身的安全问题,我们可以通过静态代码分析工具解决。而对于代码依赖包的安全问题是我们这篇文章重点解决的事情,业界通常使用Dependency-Check来检查代码中是否存在任何已知的,公开披露的安全漏洞。他检查依赖项中是否存在漏洞的原理也跟我们熟知的病毒查杀软件一样,预先定义好目前已知的安全漏洞库,检查依赖包时,发现这些漏洞就会报错,最后定期更新安全漏洞库即可!

工具介绍:

Dependency-Check

Dependency-Check是OWASP(Open WebApplication Security Project)的一个实用开源程序,用于识别项目依赖项并检查是否存在任何已知的,公开披露的漏洞。目前,已支持Java、.NET、Ruby、Node.js、Python等语言编写的程序,并为C/C++构建系统(autoconf和cmake)提供了有限的支持。而且该工具还是OWASP Top 10的解决方案的一部分。

NVD

Dependency-Check依赖NVD漏洞数据库(美国国家通用漏洞数据库)进行依赖漏洞检查(全球信息安全领域著名的漏洞数据库包括中国国家信息安全漏洞库,美国国家信息安全漏洞库NVD,赛门铁克漏洞库等等)官网:https://nvd.nist.gov/

NVD的更新频率是出现问题实时更新,具体链接: https://nvd.nist.gov/general/nvd-dashboard

CVSS

NVD评级依赖CVSS(CommonVulnerability Scoring System),即“通用漏洞评分系统”,是一个“行业公开标准,其被设计用来评测漏洞的严重程度,并帮助确定所需反应的紧急度和重要度,具体评分标准如下:

目前主要参考cvss v3.0,具体级别的漏洞数目如下图所示:

使用方法

命令行方式

命令行方式建议测试人员使用,可以在没有源码的情况下进行代码安全检测。

Dependency-Check工具下载地址https://owasp.org/www-project-dependency-check/,在右侧选择command line,如下图:

 

默认方式

下载解压后进入bin文件夹,在windows系统下执行命令:

dependency-check.bat --disableRetireJS --disableNodeJS --project test -s D:\checkjar\-o D:\report\

其中:

-project代表工程名

–s代表检查的jar包文件夹,把需要检查的jar包放到该目录下即可

–o代表报表输出的路径

--disableRetireJS不检查js,

--disableNodeJS不检查nodejs

本地NVD库方式

我们可以在本地搭建一个NVD库来提高更新效率,

具体可以参考https://jeremylong.github.io/DependencyCheck/data/mirrornvd.html

使用本地nvd库,具体命令如下:

dependency-check.bat

--cveUrlModified 本地nvd库的url/nvdcve-1.1-modified.json.gz 

--cveUrlBase本地nvd库的url/nvdcve-1.1-2020.json.gz

--project test -s D:\checkjar\ -oD:\report\

其中–cveUrlModified和–cveUrlModified指定本地NVD库

注意,如果执行命令失败,重新执行一次就OK!

报告分析

生成的报表文件如下图,一般只需关注HighestSeverity 列中的CRITICAL和HIGH级别漏洞,可以看到检测出2个jar包存在高危漏洞。

 

点击具体jar包,可以看到具体的修复方案,如下所示:

报告中的含义是jackson-xc-1.8.3jar是有安全问题的,这个问题在2.8.10和2.9.1版本之前是存在的,所以我们只要把jar包升级到2.9.1版本以上即可修复这个问题!

配置Maven插件方式

该方式建议开发人员使用,通过maven方式检测依赖包中是否存在安全问题则需要修改较多pom中的内容。

https://search.maven.org/artifact/org.owasp/dependency-check-maven/5.3.2/maven-plugin

总结

一般来说对于代码依赖包的安全问题是由开发自己测试的,如果我们测试想要介入的话使用命令行方式即可,把需要检查的jar包放到指定的目录中,然后对所有jar包进行整体扫描。原创不易,如果文章帮到了你,欢迎转发点赞,让更多的朋友受益!

测试开发Kevin
关注
  • 7
    点赞
  • 42
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 7
    评论
专栏目录
如何检测出你们安装的依赖是否安全
liuhao9999的博客
07-29 210
如何确保所有的依赖都是安全的?当有一个库偷偷在你的笔记本后台挖矿怎么办?比如,不久前一个周下载量超过八百万的库被侵入,它在你的笔记本运行时会偷偷挖矿。
代码依赖安全漏洞检测 (OWASP) Dependency Check
loujun2016的博客
04-07 7564
构建DevSecOps过程中,代码依赖成分管理是一个较为头疼的事情,在某个甲方时自研了一套SCA的软件成分管理工具,由于功能做的比较重,在新公司并不适用。于是找到了OWASP开源的代码依赖扫描工具 以下有部分内容为摘抄自其它博客 此帖目的为记录遇到的问题 集成到idea工具时出现的问题一:Unable to download the NVD CVE data; the results may not include the most recent CPE/CVEs from the NVD. 问题.
jenkins插件之dependency-check
made4971的博客
05-22 425
可以根据实际情况,比如下载,或者通过web服务访问该页面查看报告结果。增加构建步骤 - Invoke Dependency-Check。配置Dependency-Check项,按照如下图进行配置。搜索owasp,选择Dependency-Check。进入您的项目 - 配置 - Build Steps。installation选择 全局工具配置中配置的。Dashboard – 系统管理 – 插件管理。NVD API KEY 选择凭据中配置的。点击构建,在项目目录下已经生成。注意,参数这里一行一个参数。
DependencyCheck工具使用
cddchina的专栏
05-29 396
1、工具下载地址2、工具使用。
dependency check工具的使用
bluebiubiu的博客
11-09 1万+
前置条件:先下载dependency check文件 Dependency-Check工具下载地址https://owasp.org/www-project-dependency-check/,在右侧选择command line,如下图: 方式一:用命令行来运行 windows下的命令 dependency-check.bat --disableRetireJS--disableNodeJS --project test -s D:\checkjar\ -o D:\report\ ...
开源工具系列5:DependencyCheck
qq_44005305的博客
03-08 2755
Dependency-Check 是 OWASP(Open Web Application SecurityProject)的一个实用开源程序,用于识别项目依赖项并检查是否存在任何已知的,公开披露的漏洞。
警惕 Python 中少为人知的十个安全陷阱(1)
最新发布
dzqxwzoe的博客
06-26 637
!!!!!
Dependency-check
weixin_42176112的博客
02-15 4619
文章目录前言简介原理 前言 公司客户使用的是该工具扫描,与我们内部使用的工具snyk的测试结果无法对其,为了便于和客户扫描对齐也采用该工具扫描本公司的产品。本文主要记录一下工具原理简介、使用方式、报告解读及与其他工具对比等内容。本文内容来源于网络也服务于网络,起主要目的是把自己使用的一些心得体会记录一下便于自己日后使用,也能够为他人提供一点点有效参考。 简介 Dependency-Check 是OWASP(Open WebApplication Security Project) g的一个实用开源程序,用
组件漏洞测试工具---Dependency-Check
热门推荐
一杯咖啡的渗透记忆
10-14 2万+
目录 文章综述 Dependency-Check简介 工作原理 常用命令 报告解读 使用场景 文章综述 本文主要介绍Dependency-Check工具的工作原理和使用方法,并提供一个开源方案帮助企业建设SDL中的一环。 Dependency-Check简介 使用"存在已知漏洞的组件"已经成为OWASP TOP 10的漏洞之一了。所以,越来越有必要对上线前的项目做好三方依赖库的检测,寻找中已知的漏洞,降低上线后的安全风险。Dependency-Check就是这样的一款工...
【Java Web 安全DependencyCheck扫描POM依赖jar漏洞
qqchaozai的专栏
08-06 2563
前言 DependencyCheck GitHub地址:https://github.com/jeremylong/DependencyCheck 可以参考git上面教程执行,以下通过Windows环境进行演示 1 下载扫描程序 下载地址:https://bintray.com/jeremy-long/owasp/dependency-check 解压: 2 执行扫描 .\bin\dependency-check.bat --out . --scan you-scan-path .
Maven中央仓库新增依赖漏洞提醒功能
码农小胖哥
12-31 4305
❝是的,如果以后在PPT中看到“Maven中有一些关键漏洞”时你应该理解为“这些在Maven中央仓库的依赖工件存在漏洞”。上面是Apache Maven官方针对下图的一个回应:Snyk在P...
dependency-check-gradle:依赖项检查gradle插件使项目可以监视依赖库中的已知已发布漏洞
04-30
classpath ' org.owasp:dependency-check-gradle:6.1.5 ' } } apply plugin : ' org.owasp.dependencycheck ' 步骤2,运行gradle任务 一旦应用gradle插件,请运行以下gradle任务来检查依赖关系: gradle ...
dependency-check-7.1.1-release
06-27
依赖检查工具dependency-check是软件开发领域中用于检测项目依赖库是否存在已知安全漏洞的重要工具。在版本7.1.1中,它提供了最新的安全数据库和改进的分析功能,以帮助开发者确保他们的应用程序免受潜在的安全威胁...
nist-data离线资源,用于Dependency-Check部署私有检测
01-26
**Dependency-Check** 是一个开源的安全漏洞分析工具,主要用于识别软件依赖中的已知安全漏洞。它通过对项目中使用的各种组件进行扫描,与NIST(美国国家标准与技术研究所)的National Vulnerability Database(NVD...
PHP依赖倒置(Dependency Injection)代码实例
10-25
主要介绍了PHP依赖倒置(Dependency Injection)代码实例本文只提供实现代码,需要的朋友可以参考下
用OWASP_Dependency_Track管理应用依赖安全.pdf
08-03
管理应用依赖安全
dependency-check安全漏洞扫描:rxnetty,spring_framework等版本问题
进击的小白
10-21 3801
现象 最近在使用dependency-check做项目安全漏洞检查时,发现有一个严重漏洞无法修复。 rxnetty-0.4.20.jar rxnetty-servo-0.4.9.jar
使用DependencyCheck工具检测JAR依赖安全漏洞
晓郎编程
05-04 1359
Dependency-Check 是一款开源工具,用于检测软件项目中第三方库和组件的安全漏洞。通过分析项目依赖关系,它与已知漏洞数据库比对,发现存在漏洞的依赖项,并提供修复建议,帮助团队及时解决安全风险,提升软件安全性。
dependency-check-maven安全漏洞扫描工具介绍
太空眼睛的专栏
05-03 1万+
目录dependency-check-maven安全漏洞扫描工具介绍dependency-check-maven插件重点参数解析运行命令检查单个maven工程安全漏洞检查多个maven子工程汇总一个报告扫描报告示例 dependency-check-maven安全漏洞扫描工具介绍 dependency-check官网下载地址: https://owasp.org/www-project-dependency-check 这个工具支持多种方式,本文主要介绍使用maven插件的使用方式 dependency-c
SpringBoot 依赖版本管理 dependencyManagement
06-10
`dependencyManagement` 是 Maven 中用来统一管理依赖版本的一个机制。在 Spring Boot 中,使用 `dependencyManagement` 可以方便地统一管理项目中使用的依赖版本。 在 pom.xml 文件中添加 `dependencyManagement` 节点,然后在其中添加需要统一管理的依赖,如下所示: ```xml <dependencyManagement> <dependencies> <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-dependencies</artifactId> <version>2.5.5</version> <type>pom</type> <scope>import</scope> </dependency> </dependencies> </dependencyManagement> ``` 在这个例子中,我们使用了 Spring Boot 的 `dependencyManagement`,并引入了 `spring-boot-dependencies`,这个依赖管理了 Spring Boot 中所有依赖的版本号。在项目中需要使用的依赖,只需要添加相应的 `groupId` 和 `artifactId`,版本号可以省略或者使用 `RELEASE` 或 `LATEST` 代替,这样 Maven 就会自动使用 `dependencyManagement` 中定义的版本号。 使用 `dependencyManagement` 统一管理依赖版本,可以避免版本冲突和依赖管理的繁琐,使得项目的构建更加方便和快捷。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 7
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

测试开发Kevin

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值