目录
工具介绍
Dependency-Check
Dependency-Check是一个软件组成分析(SCA)工具,它试图检测项目依赖关系中包含的公开披露的漏洞。它通过确定给定依赖项是否存在公共平台枚举(CPE)标识符来实现这一点。如果找到,它将生成一个链接到相关CVE条目的报告。
OWASP Top 10 2013包含一个新条目:A9-使用具有已知漏洞的组件。Dependency Check目前可用于扫描应用程序(及其依赖库),以识别任何已知的易受攻击的组件。
Dependency-check有一个命令行界面,一个Maven插件,一个Ant任务和一个Jenkins插件。核心引擎包含一系列分析器,用于检查项目依赖关系,收集有关依赖关系的信息(称为工具中的证据)。然后使用证据来标识给定依赖项的公共平台枚举(CPE)。如果识别出CPE,则会在报告中列出相关的常见漏洞和暴露(CVE)条目列表。其他第三方服务和数据源,如NPM审计API,OSS索引,RetireJS和Bundler审计,用于特定的技术。