Dependency check增量更新cve的实现方案

最新推荐文章于 2024-04-29 02:24:51 发布
最新推荐文章于 2024-04-29 02:24:51 发布
阅读量1.3k 收藏 4
点赞数 1
分类专栏: 安全测试 Devops开发 文章标签: mysql 数据库 dba
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/liwenxiang629/article/details/124584988
版权

 

在文章Dependency check配置Mysql数据库存储nvd数据

介绍了如何把nvd库中的cve信息保存到数据库中的方法!但这仍然不是最优的方案,客户端执行脚本后,仍然需要更新cve数据到数据库中,虽然稳定性会得到保障,但是依然会浪费一定时间!那么我们的终极方案是什么呢?

实现思路其实也非常简单,只需两步

步骤一、定时更新最新的cve信息到数据库

步骤二、客户端执行dependency-check时,设置较长的校验时间使其无须检测更新,直接从数据库中读取数据

这里注意,步骤一和步骤二是分开进行的,先执行cve信息的更新,然后客户端执行dependency-check,这样就能保证dependency-check执行时数据库中cve数据的即时性了!

定时更新cve

定时更新最新的cve信息到数据库

dependency-check.bat --cveStartYear 2022 --updateonly --dbDriverName com.mysql.cj.jdbc.Driver --connectionString jdbc:mysql://127.0.0.1:3306/dependencycheck --dbUser dcuser --propertyfile d:\dependency\pwd.properties

这条语句需要注意的参数有:

cveStartYear 2022 表示只更新2022年的nvd种子数据,因为我们数据库中已经有以前年份的数据了,所以通过这种形式则实现了迭代更新,会大量的缩短更新时间!注意:在dependencycheck 7.1才开始有该参数。

updateonly 表示只更新数据,不进行扫描

dbDriverName 表示数据库的dirver名称

connectionString 表示连接数据库的字符串,执行初始化脚本后创建的数据库叫dependencycheck

dbUser 是用户名,初始化的用户名叫 dcuser

propertyfile 这个参数是表示dcuser 的密码,需要在properties文件中存储,形式是:data.password=DC-Pass1337! 这个密码是执行初始化脚本后的默认密码

如果我们不需要对某种指定类型的文件进行检测分析,可以使用参数—disable*** 放弃对指定的文件类型进行分析进而提升检测效率。例如:disableRetireJS、disableNodeJS、disableNodeAudit、disableAssembly等等。

详细参数使用可以参考官方文档:

https://jeremylong.github.io/DependencyCheck/dependency-check-cli/arguments.html

详细的分析器参数含义如下图所示:

文档链接,https://jeremylong.github.io/DependencyCheck/analyzers/index.html

定时任务更新CVE

最后我们就可以写一条定时任务,在指定的时间对cve数据库进行及时更新了!

思路一:脚本编写定时任务,具体实现方式这里不再赘述,自行百度即可。也可以参考文档https://jeremylong.github.io/DependencyCheck/data/cachenvd.html)

思路二:通过jenkins 创建一个定时任务执行dependency-check

设置较长的cve有效检测时间

dependency-check.bat --scan ${scanProject} --format HTML --out ${project_path} --dbDriverName com.mysql.cj.jdbc.Driver --connectionString jdbc:mysql://127.0.0.1:3306/dependencycheck --dbUser dcuser --propertyfile /opt/scripts/config/pwd.properties --cveValidForHours 8800 --disableRetireJS --disableNodeJS --disableNodeAudit –disableAssembly

注意这里使用了参数--cveValidForHours 8800 ,它的定义是每8800 小时(即一年)才更新nvd数据库中的cve信息(默认是4小时)。因为我们已经实现了从数据库中读取cve信息,而数据库里的cve信息是每天都进行增量更新的,因此在客户端我们就不需要再重新发起检测cve信息的请求了,这样也就避免了客户端与定时任务更新nvd库的重复操作!

总结

最后总结一下定时稳定更新cve数据的实现的思路!

1.在jenkins 中每天执行更新cve的操作

dependency-check.bat --cveStartYear 2022 --updateonly --dbDriverName com.mysql.cj.jdbc.Driver --connectionString jdbc:mysql://127.0.0.1:3306/dependencycheck --dbUser dcuser --propertyfile d:\dependency\pwd.properties

2.客户端执行时,设置较长的cve有效检测时间

dependency-check.bat --scan ${scanProject} --format HTML --out ${project_path} --dbDriverName com.mysql.cj.jdbc.Driver --connectionString jdbc:mysql://127.0.0.1:3306/dependencycheck --dbUser dcuser --propertyfile /opt/scripts/config/pwd.properties --cveValidForHours 8800 --disableRetireJS --disableNodeJS --disableNodeAudit –disableAssembly

测试开发Kevin
关注
  • 1
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
开源工具系列5:DependencyCheck
wolaisongfendi的博客
03-09 2110
Dependency-Check 是 OWASP(Open Web Application Security Project)的一个实用开源程序,用于识别项目依赖项并检查是否存在任何已知的,公开披露的漏洞。
DependencyCheck+Jenkins扫描JAVA第三方依赖(CVE)漏洞_dependency-check(1)
2401_84164576的博客
04-09 670
CNNVD漏洞数据库下载后是xml格式的文件,我们需要写代码将xml里面我们需要的数据提取出来,保存在数据库表里面i开始读取”+i+“年数据:”);System.out.println(“-------->成功读取”+i+“年数据:”+nvdList.size());System.out.println(“-------->成功写入数据:”+nvdList.size());}else{
依赖包安全漏洞扫描工具——Dependency-Check(OWASP)_autoupdate is disabled and the database does not e(1)
最新发布
2401_84297618的博客
04-29 387
代表工程名代表检查的jar包文件夹,代表报表输出的路径不检查js不检查nodejs(这一步出现问题的话,可以看一下文档底部的注意事项!!!
组件漏洞测试工具---Dependency-Check
热门推荐
一杯咖啡的渗透记忆
10-14 2万+
目录 文章综述 Dependency-Check简介 工作原理 常用命令 报告解读 使用场景 文章综述 本文主要介绍Dependency-Check工具的工作原理和使用方法,并提供一个开源方案帮助企业建设SDL中的一环。 Dependency-Check简介 使用"存在已知漏洞的组件"已经成为OWASP TOP 10的漏洞之一了。所以,越来越有必要对上线前的项目做好三方依赖库的检测,寻找中已知的漏洞,降低上线后的安全风险。Dependency-Check就是这样的一款工...
依赖包安全漏洞扫描工具——Dependency-Check(OWASP)_autoupdate is disabled and the database does not e
2401_83974783的博客
04-16 824
重新运行 OWASP Dependency-Check,并确保数据库文件已正确配置和加载。这个方向初期比较容易入门一些,掌握一些基本技术,拿起各种现成的工具就可以开黑了。如果上述步骤仍然无法解决问题,你可以尝试手动下载数据库文件并将其放置在 OWASP Dependency-Check 的数据目录中。等待执行完成后,我们可以在指定的报表输出路径上,看到生成的html文件。dependency-check.bat linux下就是.sh。(这一步出现问题的话,可以看一下文档底部的注意事项!
dependency-check-7.1.1-release
06-27
dependency-check-7.1.1-release
dependency-check-plugin:用于OWASP Dependency-Check的Jenkins插件。 检查项目组件是否存在已知漏洞(例如CVE
05-13
依赖检查Jenkins插件依赖性检查是一种实用程序,可识别项目... Dependency-Check的安装可以自动执行,这将从Bintray下载并提取官方命令行界面(CLI),或者可以手动安装正式发行版,并在配置中引用安装路径。建造者构建
nist-data离线资源包,用于Dependency-Check部署私有检测库
01-26
nist-data离线资源包,用于Dependency-Check部署私有检测库
dependency-check
03-31
版本8.2.1,使用工具扫描maven工程依赖的第三方jar包漏洞
sonar-dependency-check-plugin-3.0.0-SNAPSHOT.jar
09-06
sonar安全扫描插件
组件扫描 dependency check
weixin_45596492的博客
03-28 737
介绍 Dependency-Check 是一种软件组合分析 (SCA) 工具,它试图检测项目依赖项中包含的公开披露的漏洞。它通过确定给定依赖项是否存在通用平台枚举 (CPE) 标识符来做到这一点。如果找到,它将生成链接到相关 CVE 条目的报告。 使用方法 1.官方github下载 ​​​​​​GitHub - jeremylong/DependencyCheck: OWASP dependency-check is a software composition analysis utility t
Dependency Check的实战应用
liwenxiang629的博客
08-26 3074
Dependency Check来检查代码中是否存在任何已知的,公开披露的安全漏洞。他检查依赖项中是否存在漏洞的原理也跟我们熟知的病毒查杀软件一样,预先定义好目前已知的安全漏洞库,检查依赖包时,发现这些漏洞就会报错,最后定期更新安全漏洞库即可!关于Dependcy check 的原理和基础使用方式我在前面的文章中已经介绍了,具体参考文章: 代码依赖包安全漏洞检测神器 —— Dependency Check 本文我会重点介绍一下dependency check的实战使用细节,主要包括在maven中的使..
安装依赖的时候,报错npm WARN checkPermissions
weixin_30872733的博客
07-24 194
解决办法1 。 删除node_modules文件夹,重新安装依赖。 解决办法2 。 统一使用同一个npm安装依赖 。原因:有的依赖包是用npm安装的,有的依赖包是用cnpm安装的。 转载于:https://www.cnblogs.com/hiuman/p/11238194.html...
OWASP Dependency-Check工具集成
weixin_45131349的博客
02-25 1994
OWASP Dependency-Check工具集成 SonarQube 插件不执行分析,而是读取现有的 Dependency-Check 报告,先要通过Jenkins插件去执行扫描,然后sonar里面再分析报告 一、搭建本地NVD Mirror库 1、搭建nvd库: 官方提供了对应jar包来作为mirror的服务,具体github地址: https://github.com/stevespringett/nist-data-mirror/ 1)下载release jar包,如需定制请自行改写代码 2)服务
顶会论文:深度学习检测网络安全漏洞报告的不一致性,你常用的CVE、NVD漏洞库信息可能不可靠
网络空间发展与战略研究
05-21 1780
Usenix Security是信息安全领域“四大”顶级学术会议(此外还包括S&P,CCS,NDSS)之一,始于上世纪90年代初,每年涵盖的安全领域包含:二进制安全、固件安全、取证分析、Web安全、隐私保护、恶意分析、硬件保护、智能合约等。Usenix Security 被中国计算机学会(CCF)列为“网络与信息安全”A类会议。 网络安全行业已经通过建立强大的社区来发现和修补漏洞。CVE(Common Vulnerabilities and Exposures,常见漏洞和泄露)和NVD(Na.
开源漏扫工具:DependencyCheck
m0_37528968的博客
03-15 1226
开源漏扫工具:DependencyCheck
OWASP Dependency-Check插件介绍及使用
weixin_30507481的博客
10-20 2873
  1、Dependency-Check可以检查项目依赖包存在的已知、公开披露的漏洞。目前良好的支持Java和.NET;Ruby、Node.js、Python处于实验阶段;仅支持通过(autoconf and cmake)编译的C/C++。主要提供针对owasp2017 top10的 A9 - Using Components with Known Vulnerabilities.问题...
dependency-check怎么安装
05-25
dependency-check 可以通过以下步骤进行安装: 1. 首先,从官方网站 https://owasp.org/www-project-dependency-check/#download 下载最新版本的 dependency-check。 2. 解压缩下载的文件,并将其放在您选择的目录中。 3. 确保您的系统上已经安装了 Java 运行时环境 (JRE)。您可以通过在终端中输入以下命令来检查是否已安装 Java: ```bash java -version ``` 如果您看到类似于以下内容的输出,则表示您已经安装了 Java: ``` java version "1.8.0_212" Java(TM) SE Runtime Environment (build 1.8.0_212-b10) Java HotSpot(TM) 64-Bit Server VM (build 25.212-b10, mixed mode) ``` 4. 打开终端并切换到解压缩的 dependency-check 目录。 5. 运行以下命令以执行 dependency-check: ```bash ./dependency-check.sh --scan path/to/your/project ``` 这将扫描您指定的项目,并生成一个报告文件。 请注意,dependency-check 还有其他选项和参数可以使用。您可以通过运行以下命令来查看所有可用选项和参数: ```bash ./dependency-check.sh --help ``` 希望这可以帮助您开始使用 dependency-check

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

测试开发Kevin

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值