依赖性检查工具Snyk与Dependency-check对比

已于 2022-11-09 13:57:30 修改
阅读量6k 收藏 5
点赞数 1
分类专栏: 安全测试 文章标签: 安全性测试
于 2022-02-17 18:20:05 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42176112/article/details/122988352
版权

文章目录

前言

随机选取测试包下的jar包,使用两个工具同时对该jar包进行扫描,以Maven仓库 记录的信息为准来比对来比对两个工具扫描的准确性。
由于采样较小或者作为标准的maven中记录的信息不准确的等因素暂不考虑,本文档
主要记录工具对比的方式和思路,供大家参考。

对比工具

Snyk

  • 地址:https://snyk.io/
  • 需要使用token授权,单个账号每月扫描次数受限制

Dependency-check

  • 地址:https://owasp.org/www-project-dependency-check/
  • 开源插件, 在有限制的范围内使用次数无限制

对比方式

  • 针对 项目中 accessors-smart-1.2.jar 分别使用以上两种工具分别扫描该jar包,比对扫描结果
  • 针对该jar包的版本,查看mave仓库官方文档给出的漏洞详情,比对结果是否正确

对比步骤

下载测试包

  • 如下图所示:
    在这里插入图片描述

解压缩测试包

  • 在本地任选一个目录,解压缩步骤1下载的安装包,
  • 进入/server/jars/
  • 检查该目录下是否包含accessors-smart-1.2.jar , 也可随机选取其他jar
> tar -xzvf Kyligence-Enterprise-4.5.7.3091-GA.tar.gz  # 解压缩KE安装包
> cd Kyligence-Enterprise-4.5.7.3091-GA/server/jars/   # 进入KE 代码依赖的jar目录
> ls  *accessors-smart-1.2.jar*    # 检查是否包含指定jar, 结果:包含

使用snyk扫描

  • 扫描环境安装:https://blog.csdn.net/weixin_42176112/article/details/116654787
  • 在jar包所在的目录,执行如下命令:
    snyk test --file=accessors-smart-1.2.jar >> ../../4x_snyk_test_20220126ast12.txt
  • snyk扫描结果 :无直接高危漏洞
    Testing /Users/xxx.xxx/sykap/Kyligence-Enterprise-4.5.7.3091-GA/server/jars...

Organization:   xxxxxx211
Package manager:  maven
Target file:    accessors-smart-1.2.jar
Project name:   jars:accessors-smart-1.2.jar
Open source:    no
Project path:   /Users/xxx.xxx/sykap/Kyligence-Enterprise-4.5.7.3091-GA/server/jars
Licenses:     enabled

✔ Tested 2 dependencies for known issues, no vulnerable paths found.

Next steps:
- Run `snyk monitor` to be notified about new related vulnerabilities.
- Run `snyk test` as part of your CI/test.
  1. 使用denpendence-check 扫描

  • 扫描环境搭建:https://blog.csdn.net/weixin_42176112/article/details/122953855

  • 在jar包所在的目录,执行如下命令:

    > dependency-check -n -o ../ --format HTML --scan ./accessors-smart-1.2.jar

  • dependence-check 扫描结果:发现高危漏洞 :CVE-2021-27568
    在这里插入图片描述

核对结果

在这里插入图片描述
在这里插入图片描述

  • Maven仓库 查找 accessors-smart-1.2.jar
  • 无直接漏洞 且关联漏洞的CVE也不一致
    在这里插入图片描述
    在这里插入图片描述
    在这里插入图片描述
  • 查找该组织/公司其他产品,是否有 CVE-2021-27568 # json-smart 1.2有dependence-check 误报的高危安全漏洞
    在这里插入图片描述

对比结论

针对 ke_server/jars 中的 accessors-smart-1.2.jar 以Maven仓库中的记录为准的前提下

  • Snyk 的扫描结果 是准确的
  • Denpendence-check 的扫描结果 CVE-2021-27568 属于不准确的误报
易爻64
关注
  • 1
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
静态代码审计插件 snyk 使用教程
SHELLCODE_8BIT的博客
02-17 1026
静态代码审计插件 snyk 使用教程
snyk:CLI和构建时工具,用于查找和修复开源依赖项中的已知漏洞
02-05
| Snyk可帮助您查找,修复和监视开源中的已知漏洞 什么是Snyk? 目录: 安装 使用npm install -g snyk安装Snyk实用程序。 安装后,您将需要使用您的Snyk帐户进行身份验证: snyk auth 有关如何进行身份验证的更多详细信息,请参阅Snyk文档的部分。 命令行界面 snyk [options] [command] [package] 运行snyk --help可获得所有命令的快速概述,或有关CLI的完整详细信息,请阅读snyk.io 。 package参数是可选的。 如果未提供软件包,Snyk将针对当前工作目录运行该命令,从而允许您测试非公共应用程序
使用 Maven 进行依赖漏洞检查的指南
最新发布
fudaihb的博客
05-17 1348
Apache Maven 是一个流行的项目管理和构建工具,主要用于 Java 项目。它可以简化项目的依赖管理、构建、文档生成和项目报告等任务。进行依赖漏洞检查是确保软件项目安全的重要一步。通过使用 OWASP Dependency-Check 和 Sonatype Nexus IQ 这样的工具,开发者能够有效识别和修复依赖中的已知漏洞。将这些检查集成到持续集成平台中,可以确保在开发的每个阶段都进行安全审查,从而提高项目的安全性和健壮性。
spring dependency-check 替代
qq_33291307的博客
02-23 822
https://blog.csdn.net/arvinrong/article/details/7763180 参考
Snyk 依赖性安全漏洞扫描工具
weixin_42176112的博客
05-11 9782
Snyk可帮助您查找,修复和监视开源中的已知漏洞 什么是Snyk? 目录: 安装 使用npm install -g snyk安装Snyk实用程序。 安装后,您将需要使用您的Snyk帐户进行身份验证: snyk auth 有关如何进行身份验证的更多详细信息,请参阅Snyk文档的部分。 命令行界面 snyk [options] [command] [package] 运行snyk --help可获得所有命令的快速概述,或有关CLI的完整详细信息,请阅读snyk.io 。 package参数是可选的。 如果未提供
使用 Snyk 防止 Java 应用程序中的跨站点脚本 (XSS)
qq_37116560的博客
05-11 371
Java 是一种强大的后端编程语言,也可用于为 Web 应用程序编写 HTML 页面。但是,开发人员在创建这些页面时必须了解与跨站点脚本 (XSS) 攻击相关的潜在安全风险。随着现代模板框架的兴起,通过适当的输入验证和编码技术防止安全攻击变得更加容易。然而,当开发人员选择在不使用模板框架的情况下创建自己的 HTML 页面时,引入漏洞的风险就会增加。 例如,使用HttpServletRespon...
kubernetes-monitor:使用Snyk查找和修复Kubernetes工作负载中的漏洞
03-22
snyk / kubernetes-monitor 概括 监视Kubernetes集群安全的容器 先决条件 的存储空间为 。 来自Kubernetes集群的外部Internet访问。 正在安装 Snyk监视器( kubernetes-monitor )需要一些最少的配置项才能正常工作。 与任何Kubernetes部署一样, kubernetes-monitor在单个名称空间中运行。 如果尚未访问要在其中部署监视器的名称空间,则可以运行以下命令来创建该名称空间: kubectl create namespace snyk-monitor 注意,我们的名称空间称为snyk-monitor ,用于以下命令来确定资源范围。 Snyk监视器依赖于使用您的Snyk集成ID,该ID必须从Kubernetes机密中提供。 这个秘密必须称为snyk-monitor 。 创建密钥的步骤如下: 从“
snyk-maven-plugin:一个Maven插件,可以测试pom.xml依赖项中的漏洞
02-04
Snyk可帮助您临时地或作为CI(构建)系统的一部分,查找,修复和... 在您的pom.xml文件中,添加Snyk Maven插件: <build> <plugins> <plugin> <groupId>io.snyk</groupId> <artifactId>snyk-maven-plugin</artifactId>
snyk-to-html:将测试报告从CLI导出到html
05-07
安装或克隆首先,使用npm将Snyk JSON安装到HTML Mapper: npm install snyk-to-html -g 或者,您可以克隆存储库并使用以下命令在本地运行脚本: npm installnpm run buildnode . / dist / index . js选项短的长描述-...
snyk-intellij-plugin:基于IntelliJ平台的IDE的Snyk漏洞扫描程序
03-29
识别出的漏洞与可操作的信息一起显示,包括完整的依赖路径和修复建议,以帮助您尽快修复问题。 主要特征 无缝整合 基于Snyk Intel的准确结果 依赖路径 修复建议 许可证合规 有用的链接 该插件可用于以Java,...
dependency-lock
03-19
它们允许开发者检查每个依赖的更新,并通过安全扫描工具(如Snyk、Bandit等)确保新版本不会引入安全漏洞。 5. **持续集成/持续部署(CI/CD)**:在CI/CD流程中,依赖锁文件是必不可少的。它确保每次构建都使用相同的...
accessors-smart-1.2-API文档-中文版.zip
04-23
赠送jar包:accessors-smart-1.2.jar; 赠送原API文档:accessors-smart-1.2-javadoc.jar; 赠送源代码:accessors-smart-1.2-sources.jar; 赠送Maven依赖信息文件:accessors-smart-1.2.pom; 包含翻译后的API文档:accessors-smart-1.2-javadoc-API文档-中文(简体)版.zip; Maven坐标:net.minidev:accessors-smart:1.2; 标签:accessors、minidev、smart、jar包、java、API文档、中文版; 使用方法:解压翻译后的API文档,用浏览器打开“index.html”文件,即可纵览文档内容。 人性化翻译,文档中的代码和结构保持不变,注释和说明精准翻译,请放心使用。
smart.jar包
07-06
java中基于jspsmart.upload的图片的jar文件包,导入此包可以解决import方面的问题,在.java文件中也可以直接按ctrl+o进行自动导入
snyk-licenses-texts:ny Snyk API支持的许可证归因报告工具。 根据许可证名称,文本,依存关系数据和版权信息为每个Snyk组织生成许可证信息
04-28
Snyk可帮助您临时地或作为CI(构建)系统的一部分来查找,修复和监视... 仅获取JSON输出: snyk-licenses-report json --orgPublicId= 默认HTML报告(每个组织视图的许可): snyk-licenses-report generate --orgP
Snyk安全漏洞扫描使用记录
PinkCoder
03-31 7162
snyk安全漏洞扫描
Dependency Check的实战应用
liwenxiang629的博客
08-26 3136
Dependency Check检查代码中是否存在任何已知的,公开披露的安全漏洞。他检查依赖项中是否存在漏洞的原理也跟我们熟知的病毒查杀软件一样,预先定义好目前已知的安全漏洞库,检查依赖包时,发现这些漏洞就会报错,最后定期更新安全漏洞库即可!关于Dependcy check 的原理和基础使用方式我在前面的文章中已经介绍了,具体参考文章: 代码依赖包安全漏洞检测神器 —— Dependency Check 本文我会重点介绍一下dependency check的实战使用细节,主要包括在maven中的使..
Snyk CLI
liangshanbo1215的博客
04-08 188
打开浏览器窗口,提示您登录到 Snyk 帐户并验证您的机器。目前不需要存储库权限。1、安装 Snyk CLI。
snyk 项目漏洞检测
搬山境KL攻城狮的修炼手册
11-29 3732
snyk 项目漏洞检测 一、介绍 github 下载地址 二、idea插件 Snyk Vulnerability Scanner 三、使用示例
PyCharm最新资讯:新增Snyk插件用于查找和修复Python漏洞
qq_42444778的博客
09-24 516
PyCharm是一种Python IDE,其带有一整套可以帮助用户在使用Python语言开发时提高其效率的工具。此外,该IDE提供了一些高级功能,以用于Django框架下的专业Web开发,接下来将讲解Pycharm的一些入门技巧,界面等相关知识。 点击下载PyCharm最新试用版 使用新插件Snyk在PyCharm中查找和修复Python漏洞 Snyk提供了开发人员优先的开源安全解决方案,现在展示其新的PyCharm插件,以帮助Python开发人员轻松测试其开源依赖项是否存在安全问题。 很高兴的通知
eclipse snyk
05-24
Snyk是一种用于开源安全的工具,它可以在构建应用程序时检测和修复依赖项中的漏洞和安全问题。Eclipse是一款流行的Java开发工具,可以与Snyk集成,以便在开发过程中自动检测和修复安全问题。通过Snyk插件,开发人员可以在Eclipse中直接查看和解决应用程序中的安全问题,从而提高应用程序的安全性和可靠性。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值