Dependency Check的实战应用

最新推荐文章于 2024-04-25 15:15:01 发布
最新推荐文章于 2024-04-25 15:15:01 发布
阅读量2.9k 收藏 2
点赞数 2
分类专栏: 测试开发 安全测试 文章标签: maven java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/liwenxiang629/article/details/119931159
版权

Dependency Check来检查代码中是否存在任何已知的,公开披露的安全漏洞。他检查依赖项中是否存在漏洞的原理也跟我们熟知的病毒查杀软件一样,预先定义好目前已知的安全漏洞库,检查依赖包时,发现这些漏洞就会报错,最后定期更新安全漏洞库即可!关于Dependcy check 的原理和基础使用方式我在前面的文章中已经介绍了,具体参考文章:

代码依赖包安全漏洞检测神器 —— Dependency Check

本文我会重点介绍一下dependency check的实战使用细节,主要包括在maven中的使用配置和命令行方式的使用细节。

Maven方式

在maven构建时,执行dependency check的jar包依赖检测工作。

基础配置如下:

如果需要添加参数,需要在<configuration> 中添加,例如下面配置表示错误级别在CVSS 8以上将会构建失败。

dependency maven中常用的配置如下所示:

其中cveUrlModified 和cveUrlBase可以指定本地的nvd库来提高更新效率;

outputDirectory 指定了检测报告的生成位置,默认是html报告;

excludes 设置不需要检测的jar包,在实际项工作中,经常有一些维护类的项目,使用的框架版本很低,例如spring 3.x版本,会有很多的jar包安全问题,基于某些原因这些jar包不能升级,因此使用dependency check检测时需要跳过对这些jar包的检测,这时就需要使用excludes参数了。注意:这个格式是固定的,采用groupId:artifactId::version的形式(此处花费我很多时间调试)

如果想参考更多关于dependency check maven configuration的配置请参考:

https://jeremylong.github.io/DependencyCheck/dependency-check-maven/configuration.html

命令行方式

关于dependency-check的命令行参数的具体使用大家可以通过下面命令查看详情

dependency-check.bat --advancedHelp

在这里我给大家介绍几点需要特别注意的地方

参数--format 用来指定输出报告的格式,默认是html

如果设置--format ALL,将会分别生成HTML, XML, CSV, JSON形式的检测报告。如果需要生成多种格式的测试报告可以进行如下设置:

--format HTML --format CSV

会只生成html 和csv两种格式的测试报告,命名为dependency-check-report.csv和dependency-check-report.html

--out 报告路径,会指定生成报告的路径

--exclude A.jar,不检测A.jar,如果不检测多个jar包,则需要设置如下:

--exclude A.jar --exclude B.jar --exclude C.jar…形式比较麻烦。

--scan ./ 对当前目录进行扫描,可以直接扫描maven工程的项目。

测试开发Kevin
关注
  • 2
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
dependency-check-7.1.1-release
06-27
dependency-check-7.1.1-release
dependency check工具的使用
热门推荐
bluebiubiu的博客
11-09 1万+
前置条件:先下载dependency check文件包 Dependency-Check工具下载地址https://owasp.org/www-project-dependency-check/,在右侧选择command line,如下图: 方式一:用命令行来运行 windows下的命令 dependency-check.bat --disableRetireJS--disableNodeJS --project test -s D:\checkjar\ -o D:\report\ ...
开源工具系列5:DependencyCheck
qq_44005305的博客
03-08 1305
Dependency-Check 是 OWASP(Open Web Application SecurityProject)的一个实用开源程序,用于识别项目依赖项并检查是否存在任何已知的,公开披露的漏洞。
依赖包安全漏洞扫描工具——Dependency-Check,2024年最新网络安全开发谈
2303_79055586的博客
04-11 582
还有兄弟不知道网络安全面试可以提前刷题吗?费时一周整理的160+网络安全面试题,金九银十,做网络安全面试里的显眼包!王岚嵚工程师面试题(附答案),只能帮兄弟们到这儿了!如果你能答对70%,找一个安全工作,问题不大。对于有1-3年工作经验,想要跳槽的朋友来说,也是很好的温习资料!【完整版领取方式在文末!!
sonar-dependency-check-plugin-3.0.0-SNAPSHOT.jar
09-06
sonar安全扫描插件
dependency-check
03-31
版本8.2.1,使用工具扫描maven工程依赖的第三方jar包漏洞
Dependency-Check
qq_45370296的博客
09-21 620
安装Dependency-Check有很多种方式,如构建工具插件、持续集成/持续交付(CI/CD)集成、Docker 集成、IDE 集成、自定义脚本、REST API,我一般会使用Maven构建项目,将Dependency-Check添加为Maven插件。Dependency-Check是一个用于检测应用程序的依赖项(项目中引入的各种库、框架和软件包)中是否存在已知漏洞的工具。执行完成后,可以在生成的报告中查看依赖项的漏洞信息。Dependency-Check 插件将会执行漏洞检查,并生成相应的报告。
DependencyCheck+Jenkins扫描JAVA第三方依赖(CVE)漏洞
u012280424的博客
09-26 3206
利用Jenkins使用DependencyCheck更新漏洞库到本地,然后DependencyCheck扫描扫描项目,得到一个json报告,然后再使用json报告填充我们的自定义模板,最后输出填充后的模板为漏洞报告。
依赖包安全漏洞扫描工具——Dependency-Check(OWASP)
海边de曼彻斯特的博客
12-22 1125
只介绍命令的方式,maven 插件需要授权不好用暂不做介绍。后期如果有需求再补充。点击下载即可:没梯子的用迅雷一样下载。
Dependency-check
weixin_42176112的博客
02-15 4345
文章目录前言简介原理 前言 公司客户使用的是该工具扫描,与我们内部使用的工具snyk的测试结果无法对其,为了便于和客户扫描对齐也采用该工具扫描本公司的产品。本文主要记录一下工具原理简介、使用方式、报告解读及与其他工具对比等内容。本文内容来源于网络也服务于网络,起主要目的是把自己使用的一些心得体会记录一下便于自己日后使用,也能够为他人提供一点点有效参考。 简介 Dependency-Check 是OWASP(Open WebApplication Security Project) g的一个实用开源程序,用
Spring学习 关于dependency-check示例
09-27
Spring学习 关于dependency-check示例代码,需要自行下载Spring3相关jar包
dependency-check-plugin:用于OWASP Dependency-Check的Jenkins插件。 检查项目组件是否存在已知漏洞(例如CVE)
05-13
依赖检查Jenkins插件依赖性检查是一种实用程序,可识别项目... Dependency-Check的安装可以自动执行,这将从Bintray下载并提取官方命令行界面(CLI),或者可以手动安装正式发行版,并在配置中引用安装路径。建造者构建
owasp-dependency-check:为OWASP Dependency-Check应用程序提供预下载的NVDCVE更新
03-21
tgagor / owasp-dependency-check如果您需要有关此工具的更多信息,请在此处检查: : 该映像包含允许在CI / CD管道中运行测试或在项目中独立运行的应用程序和运行时环境。怎么跑假设您的代码位于code目录中的当前...
maven exec plugin启动springboot应用并且change port更改端口(多模块)
Dexter
04-19 401
【代码】maven exec plugin启动springboot应用并且change port更改端口(多模块)
Maven基础篇2
m0_52474839的博客
04-22 252
只要是jar默认情况下可以在任何地方使用,可以通过scope标签进行设定其范围scope的不同参数以及指定范围关于servlet-api不参与打包,原因服务器上tomcat也有servlet-api如果版本不同会起冲突;因此需要使用scope写provided来进行不打包runtime仅和provided相反;
IDEA 2024 配置 Maven 创建 Spring Boot 项目
weixin_43784341的博客
04-19 800
IntelliJ IDEA 是一款强大的集成开发环境(IDE),它支持多种编程语言和框架,包括 Maven 和 Spring Boot。下面是一个详细的步骤说明,介绍如何在 IntelliJ IDEA 2024 中配置 Maven 并创建一个 Spring Boot 项目。请注意,由于 IntelliJ IDEA 的版本更新可能带来界面或功能的变化,以下步骤可能需要根据您实际使用的版本进行调整。
centos7搭建maven私服nexus
最新发布
TanYYF的专栏
04-25 568
查看系统要求:https://help.sonatype.com/en/sonatype-nexus-repository-system-requirements.html#instance-resource-sizing-profiles。点击右上角登录,弹出登录框,显示admin默认密码路径:/usr/local/sonatype-work/nexus3/admin.password。下载地址:https://help.sonatype.com/en/download.html。
idea设置了maven会自动变回C盘那个
qq_45972323的博客
04-21 298
IDE支持Maven包装器,IDEA会将其用于项目,如果不想从包装器中使用Maven。需要将项目中.mvn/wrapper/下的。
dependency-check怎么安装
05-25
dependency-check 可以通过以下步骤进行安装: 1. 首先,从官方网站 https://owasp.org/www-project-dependency-check/#download 下载最新版本的 dependency-check。 2. 解压缩下载的文件,并将其放在您选择的目录中。 3. 确保您的系统上已经安装了 Java 运行时环境 (JRE)。您可以通过在终端中输入以下命令来检查是否已安装 Java: ```bash java -version ``` 如果您看到类似于以下内容的输出,则表示您已经安装了 Java: ``` java version "1.8.0_212" Java(TM) SE Runtime Environment (build 1.8.0_212-b10) Java HotSpot(TM) 64-Bit Server VM (build 25.212-b10, mixed mode) ``` 4. 打开终端并切换到解压缩的 dependency-check 目录。 5. 运行以下命令以执行 dependency-check: ```bash ./dependency-check.sh --scan path/to/your/project ``` 这将扫描您指定的项目,并生成一个报告文件。 请注意,dependency-check 还有其他选项和参数可以使用。您可以通过运行以下命令来查看所有可用选项和参数: ```bash ./dependency-check.sh --help ``` 希望这可以帮助您开始使用 dependency-check

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

测试开发Kevin

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值