一个实用开源程序,用于识别项目依赖项并检查是否存在任何已知的,公开披露的漏洞。目前,已支持Java、.NET、Ruby、Node.js、Python等语言编写的程序,并为C/C++构建系统(autoconf和cmake)提供了有限的支持。而且该工具还是OWASP Top 10的解决方案的一部分。
下载dependency-check
选择最新版本的 command line
申请nvd api key
保存申请好的密钥,关闭网页后就无法再次获取
安装
将下载好的dependency-check.zip上传到linux中并解压
查看/bin/目录下dependency-check.sh
注意该工具需要先安装JAVA环境,如果是手动安装JAVA的,那么注意配置环境变量
执行
/bin/bash ./dependency-check/bin/dependency-check.sh -s ../project_name -f HTML -o ../wanaohui_admin --nvdApiKey xxxxxx --disableAssembly --disableRetireJS
命令参数介绍
-s,–scan 指定扫描目录
-o,–out 指定结果输出目录
-f,–format 输出格式为HTML 也可以选择XML等 具体可–help查看
–nvdApiKey 之前申请并保存的api key
–disableAssembly 禁用扫描 .net相关配置
–disableRetireJS 禁用扫描 js相关配置
扫描完成后会在 -o 指定的目录生成dependency-check-report.html, 流缆该页面查看结果
补充
–disableAssembly
不扫描net程序,启用该选项,否则报错如下,若需要扫描.net程序,直接安装.net Framework即可
[ERROR] ----------------------------------------------------
[ERROR] .NET Assembly Analyzer could not be initialized and at least one ‘exe’ or ‘dll’ was scanned. The ‘dotnet’ executable could not be found on the path; either disable the Assembly Analyzer or add the path to dotnet core in the configuration.
[ERROR] The dotnet 6.0 core runtime or SDK is required to analyze assemblies
[ERROR] ----------------------------------------------------
–disableRetireJS
如果不扫描js项目,这个配置可以加上
若需要扫描,但是报错 Failed to initialize the RetireJS repo
打开下面链接,复制里面的内容
https://github.com/RetireJS/retire.js/blob/master/repository/jsrepository.json
直接覆盖掉 ./dependency-check/data/jsrepository.json 里面的内容即可
转载请保留出处,都看到这里了,点个赞再走吧
PHP质量工具系列
PHP/JS质量工具,安全工具 总结
TOP 6 PHP代码质量工具
PHP质量工具系列之php-depend
PHP质量工具系列之phpmd
PHP质量工具系列之phpcpd
PHP质量工具系列之phploc
PHP质量工具系列之paslm
PHP质量工具系列之phpstan
PHP质量工具系列之Owasp dependency-check
PHP质量工具系列之php_codesniffer
PHP质量工具系列之phpunit
PHP质量工具系列之xhprof
SBOM生成之CycloneDX
CI/CD之Jenkins插件使用系列
jenkins插件之Jdepend
jenkins插件之plot
jenkins插件之dependency-check
jenkins插件之Warnings
jenkins插件之xunit
扫一扫
7955
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
