组件漏洞测试工具---Dependency-Check

最新推荐文章于 2024-06-26 09:08:41 发布
最新推荐文章于 2024-06-26 09:08:41 发布
阅读量2.1w 收藏 29
点赞数 1
分类专栏: 小工具
原文链接:https://www.secpulse.com/archives/73373.html
版权

目录

文章综述

Dependency-Check简介

工作原理

常用命令

报告解读

使用场景

 缺点

文章综述

本文主要介绍Dependency-Check工具的工作原理和使用方法,并提供一个开源方案帮助企业建设SDL中的一环。

 

Dependency-Check简介

使用 "存在已知漏洞的组件" 已经成为OWASP TOP 10的漏洞之一了。所以,越来越有必要对上线前的项目做好三方依赖库的检测,寻找中已知的漏洞,降低上线后的安全风险。Dependency-Check 就是这样的一款工具。他会分析软件构成,检测项目中依赖项的公开披露漏洞。Dependency-Check 常用于扫描java.NET程序,另外还有些实验性的分析器,例如:python、ruby、php以及nodejs等,这些作为实验性研究是因为他们的高误报率。如果你公司主要使用c#,java开发程序,那这款工具作为项目上线前的漏洞扫描不乏是个好选择。

Dependency-Check 发行的版本主要有jenkins插件、命令行工具、maven插件等,详解介绍可查看https://github.com/jeremylong/DependencyCheck,以下是基于命令行工作模式的介绍。

 

工作原理

  1. Dependency-Check工作的方式是通过分析器对文件进行扫描搜集信息,搜集到的信息被叫做迹象。

  2. 这边共搜集3种迹象,分时是vendor(供应商),product(产品)和version(版本)。例如,jarAnalyzer将从jar文件包中的Mainfest、pom.xml和包名进行信息搜集,然后把各种搜集到的源放到一个或者多个迹象表里。

  3. 通过搜集到的迹象和CPE条目(NVD、CVE数据索引)进行匹配,分析器匹配到了就会给个标志发送到报告。

  4. Dependency-Check 目前不使用hash识别文件,因为第三方依赖从源码中的hash值构建通常不会匹配官方发布版本的hash。后续版本中可能会增加一些hash来匹配一些常用的第三方库,例如Spring, Struts等。

 

常用命令

详细参数可使用./dependency-check.sh -h查看,以下列出一些最常用的参数:

  • ./dependency-check.sh -n --project "test" --scan "WEB-INF/lib/" -o output.html

  • · -n 不更新漏洞库,默认4小时自动拉取

  • · --project 项目名字

  • · --scan 扫描的路径或文件(可以扫目录,也可以直接扫压缩文件,zip,war,tgz等)

     

  • /dependency-check.sh -n --project "test" --scan "strusts2.war" --log logfile

  • · 扫描压缩文件

  • · --log 日志记录

     

  • ./dependency-check.sh --updateonly

  • · --updateonly 只更新数据库,不做扫描

 

报告解读

部分报告截图:

图片1.png

图片2.png

 

 

关于扫描的准确性,笔者搜集测试了java三方依赖库。得到的结论是准确率高、误报率低、覆盖率高,适合在实际业务中使用该工具进行上线前的漏洞扫描(java三方依赖库)。

报告中一些重要字段的含义:

· Dependency - 被扫描的第三依赖库名字

· CPE - 所有被识别出来的CPE.

· GAV - Maven 组, Artifact, 版本 (GAV).

· Highest Severity - 所有关联的cve的最高漏洞等级

· CVE Count - 关联的cve个数

· CPE Confidence - dependency-check正确识别cpe的程度

· Evidence Count - 识别CPE的数据个数

 

使用场景

在企业中实际应用的场景:

1、项目很多,迭代很块:可以考虑结合代码管理系统,每次新发布前,自动提交进行扫描

2、项目迭代不快,或者只想监控重点项目:可让业务提单,安全人员进行扫描后提供结果和修复建议给到业务方。

(注意点:报告是英文报告,不过很直观,可以根据上面的介绍写个说明文档供业务参考;报告没有修复参考,一般的修复方案是推荐有漏洞的组件更新到最新版。)

根据实际业务场景的需求,笔者把这个Dependency-Check二进制版本封装成web接口,可供自己和业务方调用。项目地址:https://github.com/he1m4n6a/dcweb。项目中还有很多地方可以完善,后续根据需求会补充改造。

例如:

1、添加接口鉴权

2、解析报告并输出中文漏洞报告到邮件

 缺点

      报告的可读性还是有点差的,这个项目貌似开源的,如果能将呈现方式修改一下就好了,特别是将CVE也放到一览里面就更好了。。。

一杯咖啡的时间
关注
  • 1
    点赞
  • 29
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
开源工具系列5:DependencyCheck
wolaisongfendi的博客
03-09 2127
Dependency-Check 是 OWASP(Open Web Application Security Project)的一个实用开源程序,用于识别项目依赖项并检查是否存在任何已知的,公开披露的漏洞
Spring学习 关于dependency-check示例
09-27
Spring学习 关于dependency-check示例代码,需要自行下载Spring3相关jar包
依赖包安全漏洞扫描工具——Dependency-Check(OWASP)
海边de曼彻斯特的博客
12-22 1573
只介绍命令的方式,maven 插件需要授权不好用暂不做介绍。后期如果有需求再补充。点击下载即可:没梯子的用迅雷一样下载。
警惕 Python 中少为人知的十个安全陷阱(1)
最新发布
dzqxwzoe的博客
06-26 634
!!!!!
DependencyCheck工具使用
cddchina的专栏
05-29 367
1、工具下载地址2、工具使用。
dependency-check-7.1.1-release
06-27
dependency-check-7.1.1-release
DependencyCheck+Jenkins扫描JAVA第三方依赖(CVE)漏洞
u012280424的博客
09-26 3755
利用Jenkins使用DependencyCheck更新漏洞库到本地,然后DependencyCheck扫描扫描项目,得到一个json报告,然后再使用json报告填充我们的自定义模板,最后输出填充后的模板为漏洞报告。
依赖包安全漏洞扫描工具——Dependency-Check(OWASP)_autoupdate is disabled and the database does not e
2401_83974783的博客
04-16 1028
重新运行 OWASP Dependency-Check,并确保数据库文件已正确配置和加载。这个方向初期比较容易入门一些,掌握一些基本技术,拿起各种现成的工具就可以开黑了。如果上述步骤仍然无法解决问题,你可以尝试手动下载数据库文件并将其放置在 OWASP Dependency-Check 的数据目录中。等待执行完成后,我们可以在指定的报表输出路径上,看到生成的html文件。dependency-check.bat linux下就是.sh。(这一步出现问题的话,可以看一下文档底部的注意事项!
dependency-check-maven安全漏洞扫描工具介绍
热门推荐
太空眼睛的专栏
05-03 1万+
目录dependency-check-maven安全漏洞扫描工具介绍dependency-check-maven插件重点参数解析运行命令检查单个maven工程安全漏洞检查多个maven子工程汇总一个报告扫描报告示例 dependency-check-maven安全漏洞扫描工具介绍 dependency-check官网下载地址: https://owasp.org/www-project-dependency-check 这个工具支持多种方式,本文主要介绍使用maven插件的使用方式 dependency-c
Java项目代码依赖包安全漏洞检测插件Dependency Check
QC班长的博客
01-11 1万+
最近在搞Java的后端项目,需要更新jar依赖包,找到了一个jar包漏洞检测的插件Dependency CheckDependency-Check是OWASP(Open WebApplication Security Project)的一个实用开源程序,用于识别项目依赖项并检查是否存在任何已知的,公开披露的漏洞。目前,已支持Java、.NET、Ruby、Node.js、Python等语言编写的程序,并为C/C++构建系统(autoconf和cmake)提供了有限的支持。官网地址:OWASP Depen
spring的依赖检查(dependency-check属性)
weixin_30885111的博客
08-09 1006
依赖检查要和自动装配结合使用,没有自动装配也就没有检查的必要了。 <beanid="HelloWorld"class="com.jnotnull.HelloWorld" autowire="autodectect"dependency-check="none"> dependency-check有四个值:none,simple,object,all。默认不检查 ...
MavenDependencyCheck:在基于Maven的项目上运行依赖检查的自动化脚本
02-05
MavenDependencyCheck 在基于Maven的项目上运行的自动化脚本。 该脚本基本上克隆给定的存储库,并使用maven构建它们。 成功后,它将对它们进行依赖性检查并生成报告 要求 Python模块: & Maven:安装说明可在找到 包含要运行的用于克隆项目的git命令 repo.conf示例命令 git clone https://github.com/elderstudios/uni-dvwa-spring.git 用法 python depcheck.py 让脚本发挥作用 经过测试并在带有Python 2.7.5的CentOS Linux版本7.6.1810(
dependency-check-plugin:用于OWASP Dependency-Check的Jenkins插件。 检查项目组件是否存在已知漏洞(例如CVE)
05-13
该工具可以是OWASP Top 10 2017:A9-使用具有已知漏洞组件的解决方案的一部分。 该插件可以独立执行依赖性检查分析并可视化结果。寻求新的维护者由于时间限制,其他承诺以及Jenkins项目的价值与我自己的价值观...
nist-data离线资源包,用于Dependency-Check部署私有检测库
01-26
**Dependency-Check** 是一个开源的安全漏洞分析工具,主要用于识别软件依赖中的已知安全漏洞。它通过对项目中使用的各种组件进行扫描,与NIST(美国国家标准与技术研究所)的National Vulnerability Database(NVD...
dependency-check-6.2.2-release.zip
08-10
在“dependency-check-6.2.2-release.zip”压缩包中,包含了运行和配置Dependency Check所需的所有文件。解压后,我们可以找到以下关键组件: 1. **dependency-check/bin**:这个目录包含用于不同操作系统的可执行...
dependency-check
03-31
- **Maven插件**:在`pom.xml`文件中添加`dependency-check-maven`插件配置,设置版本为8.2.1,然后运行`mvn dependency-check:check`命令。 - **报告生成**:扫描完成后,工具会生成一个详细的报告,列出所有检测...
代码依赖包安全漏洞检测 (OWASP) Dependency Check
loujun2016的博客
04-07 7554
构建DevSecOps过程中,代码依赖成分管理是一个较为头疼的事情,在某个甲方时自研了一套SCA的软件成分管理工具,由于功能做的比较重,在新公司并不适用。于是找到了OWASP开源的代码依赖扫描工具 以下有部分内容为摘抄自其它博客 此帖目的为记录遇到的问题 集成到idea工具时出现的问题一:Unable to download the NVD CVE data; the results may not include the most recent CPE/CVEs from the NVD. 问题.
dependency-check-maven
Mr.Lv的博客
10-19 176
一款用于进行maven依赖漏洞检测的插件,可以生成依赖安全漏洞检测报告。引入插件 → 刷新maven → 双击检查 → 生成报告 → 查看报告。
dependency-check工具使用
06-28
### 回答1: dependency-check工具是一款用于检测应用程序中存在的已知漏洞的工具。它可以扫描应用程序的依赖关系,包括第三方库和框架,以查找已知漏洞,并生成报告。使用该工具可以帮助开发人员及时发现并修复应用程序中的漏洞,提高应用程序的安全性。 ### 回答2: Dependency-check工具是一种用于分析软件依赖关系及相关漏洞的安全工具。使用该工具能够帮助软件开发人员、测试人员及安全工程师在开发和测试过程中及时发现和解决漏洞问题,从而提高软件安全性。 使用dependency-check工具,需要先进行相关环境的配置。该工具支持Windows、Linux、macOS等不同操作系统,同时也支持各种编程语言,如Java、JavaScript、Python等。在安装好相应的依赖组件及配置好运行环境后,就可以将dependency-check工具加入到项目的构建过程中。 该工具能够检查项目中所使用的第三方库的漏洞情况,包括漏洞类型、CVSS评分等,并将检测结果统计分析后反馈给开发人员。该工具还支持高度定制化,能够根据具体的需求进行自定义配置,如排除指定的漏洞或库、指定输出格式等。除此之外,该工具还支持扫描多个项目,并能够将检测结果存储到数据库中以便于管理。 总之,dependency-check工具是一款极为实用的安全分析工具,能够提高软件开发者和测试人员的工作效率,发现并解决软件漏洞,保障软件的安全性。 ### 回答3: dependency-check 是一个用于安全审计和脆弱性管理的开源工具。它可以扫描您的应用程序及其依赖项,识别相关的脆弱性和漏洞,并生成报告以供您进一步处理。 使用 dependency-check 进行应用程序安全审计的步骤如下: 1. 安装 dependency-check 工具:您可以从官方网站下载最新的可执行文件,也可以使用 Maven 或 Gradle 等构建工具进行集成。 2. 配置 dependency-check 工具:您需要指定要扫描的应用程序和相关依赖项的路径,以及其他配置参数,如要扫描的包类型、CVE 数据库更新源等。 3. 运行依赖扫描:运行 dependency-check 扫描工具来扫描应用程序及其依赖项,首先要更新 CVE 数据库并下载需要扫描的包类型,然后扫描软件包与 CVE 数据库比对。 4. 处理扫描结果:dependency-check 会生成 HTML、XML 和 CSV 格式的扫描报告,您需要对报告进行进一步的处理和分析,包括查看漏洞详情、评估风险等,并采取相应的修复措施。 除此之外,还需要注意以下几点: 1. 定期更新 CVE 数据库:由于漏洞和脆弱性的不断出现和演变,CVE 数据库也需要定期更新,以确保使用最新的 CVE 数据库进行扫描。 2. 注意扫描配置:不同语言和应用程序类型的依赖关系不同,需要使用不同的扫描配置参数,以确保扫描结果的准确性和完整性。 3. 处理报告:扫描报告会生成大量信息,需要对其进行分类、过滤和整理,以便更好地处理和分析漏洞信息。 总之,dependency-check 是一个功能强大的开源安全审计和脆弱性管理工具,可以帮助您及时发现和解决应用程序中的漏洞问题,提高应用程序的安全性和稳定性。但需要注意扫描配置和处理报告等细节问题,以取得最好的扫描结果。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值