OWASP Dependency-Check 使用

已于 2024-10-24 16:13:07 修改
阅读量1.2k 收藏 13
点赞数 12
文章标签: 安全
于 2023-12-01 10:57:05 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_33439829/article/details/134729072
版权
本文介绍了如何在开发过程中通过OWASP的dependency-check-maven插件检测第三方依赖的安全漏洞,包括添加插件到pom文件、使用梯子访问资源以及处理可能的网络问题,以确保系统的安全性。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

说明:

我们在开发过程中,通常会使用一些第三方依赖,例如: poi,fastjson,hutool等。那我们怎么知道自己所依赖的第三方是否是有安全漏洞。保证我的系统是安全的。  今天给大家介绍一下 owasp。

他的原理就是, 它通过检查我们的依赖,然后对比一些公开的漏洞库。来给我们生成报告,告知我们哪些依赖是有问题的,通过这些提示,我们可以去提高依赖的版本(一般高版本会修复相关漏洞)或者更换依赖。

步骤:

1、在pom 文件plugins中添加如下插件

<plugin>
    <groupId>org.owasp</groupId>
    <artifactId>dependency-check-maven</artifactId>
    <version>8.0.2</version>
    <executions>
        <execution>
            <goals>
                <goal>check</goal>
            </goals>
        </execution>
    </executions>
</plugin>

像这样,刷新完依赖,如下

2、打开梯子

因为需要下载漏洞库的资源,所以,需要有梯子哈。

3、执行

正常情况下,需要等待10多分钟,因为在下载漏洞库。

4、可能碰到的问题

这个是因为这个文件,因为网络问题,没自动下载下来,我们只需手动把这个文件下载下来,放到对应的位置(提示信息上有)

好了,再执行一次。

结束。

DH-liangxin
关注
Java Servlet 代码质量检测工具的使用与实践
Java大师兄的博客
04-17 663
本文旨在为Java Web开发人员提供一套完整的Servlet代码质量检测方案。我们将覆盖从基础概念到高级实践的完整知识体系,重点介绍如何在Servlet开发环境中实施有效的代码质量管控。文章首先介绍Servlet技术基础和代码质量概念,然后深入分析主流检测工具,接着通过实战案例展示工具集成,最后讨论应用场景和发展趋势。Servlet:Java编写的服务器端程序,用于处理Web请求和生成响应代码质量:衡量代码可维护性、可靠性、安全性和效率的综合指标静态分析:在不执行代码的情况下分析源代码质量的技术。
Dependency-Checkc操作手册V1.0(互联网及内网使用
weixin_44362636的博客
08-26 2182
本手册适用于帮助初学者快速掌握Dependency-Check的安装、配置与使用方法。通过阅读本文档,您将能够了解如何搭建Dependency-Check环境、进行项目依赖库的安全扫描,并解读生成的报告。此外,本文档还涵盖了常见问题及解决方法,以便您在实际操作中遇到困难时能够及时找到解决方案。
OWASP Dependency-Check 使用教程
gitblog_00882的博客
08-08 1173
OWASP Dependency-Check 使用教程 DependencyCheckOWASP dependency-check is a software composition analysis utility that detects publicly disclosed vulnerabilities in application dependencies.项目地址:https://g...
maven使用Dependency-Check来扫描安全漏洞
最新发布
HBLOG
12-19 1535
OWASP Dependency-Check 是一个开源工具,旨在帮助开发人员识别项目中使用的库和组件的已知漏洞。它通过扫描项目的依赖项,生成详细的报告,帮助团队及时发现并修复安全问题。该工具支持多种编程语言和构建工具,包括 Java、.NET、Node.js 等。
使用OWASP Dependency-Check进行第三方依赖包安全扫描实践
热门推荐
富贵的博客
10-09 1万+
1、简介 OWASP是开源的、非盈利的全球性安全组织,致力于应用软件的安全研究。OWASP的使命是使应用软件更加安全,使企业和组织能够对应用安全风险作出更清晰的决策。OWASP的研究成果被美、欧、日等多个国家的32个政府与行业组织机构引用成为近百项国际法规、标准、指南和行业行为准则。 Dependency-CheckOWASP(Open Web Application Security Project)的一个实用开源程序,用于识别项目依赖项并检查是否存在任何已知的,公开披露的漏洞。目前,已支持Java、.
代码依赖包安全漏洞检测 (OWASPDependency Check
loujun2016的博客
04-07 7834
构建DevSecOps过程中,代码依赖成分管理是一个较为头疼的事情,在某个甲方时自研了一套SCA的软件成分管理工具,由于功能做的比较重,在新公司并不适用。于是找到了OWASP开源的代码依赖扫描工具 以下有部分内容为摘抄自其它博客 此帖目的为记录遇到的问题 集成到idea工具时出现的问题一:Unable to download the NVD CVE data; the results may not include the most recent CPE/CVEs from the NVD. 问题.
开源工具系列5:DependencyCheck
qq_44005305的博客
03-08 4483
Dependency-CheckOWASP(Open Web Application SecurityProject)的一个实用开源程序,用于识别项目依赖项并检查是否存在任何已知的,公开披露的漏洞。
DependencyCheckOWASP依赖项检查是一种软件组成分析实用程序,它可以检测应用程序依赖项中公开披露的漏洞
02-05
依赖检查 依赖项检查是一种软件组成分析(SCA)工具,它试图检测项目依赖项中包含的公开披露的漏洞。 它通过确定给定依赖项是否存在通用平台枚举(CPE)标识符来完成此操作。 如果找到,它将生成一个报告,链接到相关的CVE条目。 可以在上找到文档和生产二进制发行版的。 另外,可以在上找到有关体系结构和扩展依赖项检查的方法的更多信息。 6.0.0升级通知 如果升级到6.0.0或更高版本,则会发生重大更改。 如果收到指示无法连接数据库的错误,则需要运行purge命令来删除旧数据库: gradle: ./gradlew dependencyCheckPurge maven: mvn org.owa
OWASP依赖检查(DependencyCheck)项目教程
gitblog_01033的博客
08-08 907
OWASP依赖检查(DependencyCheck)项目教程 项目地址:https://gitcode.com/gh_mirrors/de/DependencyCheck 1. 项目目录结构及介绍 在下载并解压DependencyCheck项目后,您会看到以下基本目录结构: . ├── build.gradle # 用于Gradle构建系统的配置文件 ├── src ...
owasp-dependency-check:为OWASP Dependency-Check应用程序提供预下载的NVDCVE更新
03-21
tgagor / owasp-dependency-check 如果您需要有关此工具的更多信息,请在此处检查: : 该映像包含允许在CI / CD管道中运行测试或在项目中独立运行的应用程序和运行时环境。 怎么跑 假设您的代码位于code目录中的当前目录中,并且您想要将报告放置在result目录中,那么执行将如下所示: docker run -ti --rm \ -v $( pwd ) /code:/code:ro \ -v $( pwd ) /result:/report \ tgagor/owasp-dependency-check \ --format HTML --project dummy --scan /code --out /report 由于上面的示例参数是在CMD默认设置的,因此调用它的最简单方法是: docker run -ti -
警惕 Python 中少为人知的十个安全陷阱(1)
dzqxwzoe的博客
06-26 737
!!!!!
有了这个网络安全面试题,面试就像开了挂!(附PDF)
lvaolan的博客
02-26 1592
还有兄弟不知道网络安全面试可以提前刷题吗?费时一周整理的160+网络安全面试题,金九银十,做网络安全面试里的显眼包!王岚嵚工程师面试题(附答案),只能帮兄弟们到这儿了!如果你能答对70%,找一个安全工作,问题不大。对于有1-3年工作经验,想要跳槽的朋友来说,也是很好的温习资料!【完整版领取方式在文末!!​​​​内容实在太多,不一一截图了。
依赖包安全漏洞扫描工具——Dependency-CheckOWASP)_autoupdate is disabled and the database does not e
2401_83974783的博客
04-16 1405
重新运行 OWASP Dependency-Check,并确保数据库文件已正确配置和加载。这个方向初期比较容易入门一些,掌握一些基本技术,拿起各种现成的工具就可以开黑了。如果上述步骤仍然无法解决问题,你可以尝试手动下载数据库文件并将其放置在 OWASP Dependency-Check 的数据目录中。等待执行完成后,我们可以在指定的报表输出路径上,看到生成的html文件。dependency-check.bat linux下就是.sh。(这一步出现问题的话,可以看一下文档底部的注意事项!
OWASP Dependency-Check对服务做个检查
小康的博客
06-29 384
OWASP Dependency-Check对服务做个检查 参考链接1 参考链接2 简介 Dependency-CheckOWASP(Open Web Application Security Project)的一个实用开源程序,用于识别项目依赖项并检查是否存在任何已知的,公开披露的漏洞。目前,已支持Java、.NET、Ruby、Node.js、Python等语言编写的程序,并为C/C++构建系统(autoconf和cmake)提供了有限的支持。而且该工具还是OWASP Top 10的解决方案的一部分。
依赖包安全漏洞扫描工具——Dependency-CheckOWASP
海边de曼彻斯特的博客
12-22 2644
只介绍命令的方式,maven 插件需要授权不好用暂不做介绍。后期如果有需求再补充。点击下载即可:没梯子的用迅雷一样下载。
如何使用OWASP Dependency Check的命令行(CLI)模式进行依赖库安全漏洞扫描
tyu1853的博客
01-11 6675
OWASP Dependency Check是一款用于识别项目的依赖项是否有已知漏洞的工具,本文介绍一下如何使用Dependency Check工具的命令行模式进行依赖库漏洞扫描。 【下载地址】:安装包下载 【环境要求】: 操作系统:centos7.5 【使用方法】 1、首先解压缩dependency-check压缩包,执行命令cd dependency-check/bin/进入Depe...
OWASP Dependency-Check简单教程,及检查mybatis和压制bug的过程
tiantangpw的专栏
07-12 973
教程: https://www.jianshu.com/p/f1a2f5357d12。-s代表检查的jar包文件夹,把需要检查的jar包放到该目录下即可。下载解压后进入bin文件夹,在windows系统下执行命会。--suppression 要忽略的bug列表,可选项。-disableNodeJS不检查nodejs。-disableRetireJS不检查js,-project代表工程名。-o代表报表输出的路径。
CI/DI (四)OWASP Dependency-Check python
weixin_50750933的博客
08-17 922
Dependency-Check python
Dependency-Check部署及Jenkins集成OWASP Dependency-Check Plugin
weixin_44455388的博客
09-09 5816
部署Dependency-Check 1、下载Dependency-Check: https://owasp.org/www-project-dependency-check/ 2、上传服务器并解压 jenkins集成Dependency-Check 1、jenkins依次选择[Manage Jenkins]->[Manage Plugins]-[可选插件]安装OWASP Dependency-Check Plugin和Analysis Model API Plugin(安装插件过程中可能会失败
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值