组件扫描 dependency check

最新推荐文章于 2024-04-29 02:24:51 发布
最新推荐文章于 2024-04-29 02:24:51 发布
阅读量735 收藏 5
点赞数
分类专栏: 工具使用 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45596492/article/details/123790153
版权

介绍

Dependency-Check 是一种软件组合分析 (SCA) 工具,它试图检测项目依赖项中包含的公开披露的漏洞。它通过确定给定依赖项是否存在通用平台枚举 (CPE) 标识符来做到这一点。如果找到,它将生成链接到相关 CVE 条目的报告。

使用方法

1.官方github下载

​​​​​​GitHub - jeremylong/DependencyCheck: OWASP dependency-check is a software composition analysis utility that detects publicly disclosed vulnerabilities in application dependencies.

 

 网速慢的:dependency-check-7.0.1-release 百度网盘

链接:https://pan.baidu.com/s/1ltPqwQRR-gMj6ajimLxQ0g 
提取码:zkl6

2.运行与扫描

进入该文件的bin目录下

运行以下命令

bash dependency-check.sh --project 自定义项目名称 -s 检测文件路径 -f CSV -o  自定义保存位置

初次运行会更新数据库(很久不用也会更新)

更新完,重新运行命令

结果形式,可自定义,csv格式输出,excel打开如果中文乱码,改成以UTF-8格式编码

我一般参考CVSSv3_BaseSeverity这项的评级

 

贾克斯的灯
关注
  • 0
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
组件漏洞测试工具---Dependency-Check
一杯咖啡的渗透记忆
10-14 2万+
目录 文章综述 Dependency-Check简介 工作原理 常用命令 报告解读 使用场景 文章综述 本文主要介绍Dependency-Check工具的工作原理和使用方法,并提供一个开源方案帮助企业建设SDL中的一环。 Dependency-Check简介 使用"存在已知漏洞的组件"已经成为OWASP TOP 10的漏洞之一了。所以,越来越有必要对上线前的项目做好三方依赖库的检测,寻找中已知的漏洞,降低上线后的安全风险。Dependency-Check就是这样的一款工...
Dependency-check
weixin_42176112的博客
02-15 4482
文章目录前言简介原理 前言 公司客户使用的是该工具扫描,与我们内部使用的工具snyk的测试结果无法对其,为了便于和客户扫描对齐也采用该工具扫描本公司的产品。本文主要记录一下工具原理简介、使用方式、报告解读及与其他工具对比等内容。本文内容来源于网络也服务于网络,起主要目的是把自己使用的一些心得体会记录一下便于自己日后使用,也能够为他人提供一点点有效参考。 简介 Dependency-Check 是OWASP(Open WebApplication Security Project) g的一个实用开源程序,用
依赖包安全漏洞扫描工具——Dependency-Check(OWASP)_autoupdate is disabled and the database does not e(1)
最新发布
2401_84297618的博客
04-29 382
代表工程名代表检查的jar包文件夹,代表报表输出的路径不检查js不检查nodejs(这一步出现问题的话,可以看一下文档底部的注意事项!!!
dependency-check-maven安全漏洞扫描工具介绍
热门推荐
太空眼睛的专栏
05-03 1万+
目录dependency-check-maven安全漏洞扫描工具介绍dependency-check-maven插件重点参数解析运行命令检查单个maven工程安全漏洞检查多个maven子工程汇总一个报告扫描报告示例 dependency-check-maven安全漏洞扫描工具介绍 dependency-check官网下载地址: https://owasp.org/www-project-dependency-check 这个工具支持多种方式,本文主要介绍使用maven插件的使用方式 dependency-c
Java项目代码依赖包安全漏洞检测插件Dependency Check
QC班长的博客
01-11 1万+
最近在搞Java的后端项目,需要更新jar依赖包,找到了一个jar包漏洞检测的插件Dependency CheckDependency-Check是OWASP(Open WebApplication Security Project)的一个实用开源程序,用于识别项目依赖项并检查是否存在任何已知的,公开披露的漏洞。目前,已支持Java、.NET、Ruby、Node.js、Python等语言编写的程序,并为C/C++构建系统(autoconf和cmake)提供了有限的支持。官网地址:OWASP Depen
依赖包安全漏洞扫描工具——Dependency-Check(OWASP)
海边de曼彻斯特的博客
12-22 1484
只介绍命令的方式,maven 插件需要授权不好用暂不做介绍。后期如果有需求再补充。点击下载即可:没梯子的用迅雷一样下载。
dependency-check-7.1.1-release
06-27
dependency-check-7.1.1-release
dependency-check-6.2.2-release.zip
08-10
开源组件扫描工具
dependency-check-plugin:用于OWASP Dependency-Check的Jenkins插件。 检查项目组件是否存在已知漏洞(例如CVE)
05-13
依赖检查Jenkins插件依赖性检查是一种实用程序,可识别项目... Dependency-Check的安装可以自动执行,这将从Bintray下载并提取官方命令行界面(CLI),或者可以手动安装正式发行版,并在配置中引用安装路径。建造者构建
sonar-dependency-check-plugin-3.0.0-SNAPSHOT.jar
09-06
sonar安全扫描插件
dependency-check
03-31
版本8.2.1,使用工具扫描maven工程依赖的第三方jar包漏洞
dependency-check-maven
Mr.Lv的博客
10-19 154
一款用于进行maven依赖漏洞检测的插件,可以生成依赖安全漏洞检测报告。引入插件 → 刷新maven → 双击检查 → 生成报告 → 查看报告。
spring的依赖检查(dependency-check属性)
weixin_30885111的博客
08-09 1002
依赖检查要和自动装配结合使用,没有自动装配也就没有检查的必要了。 <beanid="HelloWorld"class="com.jnotnull.HelloWorld" autowire="autodectect"dependency-check="none"> dependency-check有四个值:none,simple,object,all。默认不检查 ...
代码依赖包安全漏洞检测 (OWASP) Dependency Check
loujun2016的博客
04-07 7506
构建DevSecOps过程中,代码依赖成分管理是一个较为头疼的事情,在某个甲方时自研了一套SCA的软件成分管理工具,由于功能做的比较重,在新公司并不适用。于是找到了OWASP开源的代码依赖扫描工具 以下有部分内容为摘抄自其它博客 此帖目的为记录遇到的问题 集成到idea工具时出现的问题一:Unable to download the NVD CVE data; the results may not include the most recent CPE/CVEs from the NVD. 问题.
Dependency check增量更新cve的实现方案
liwenxiang629的博客
05-05 1298
在文章Dependency check配置Mysql数据库存储nvd数据中 介绍了如何把nvd库中的cve信息保存到数据库中的方法!但这仍然不是最优的方案,客户端执行脚本后,仍然需要更新cve数据到数据库中,虽然稳定性会得到保障,但是依然会浪费一定时间!那么我们的终极方案是什么呢? 实现思路其实也非常简单,只需两步 步骤一、定时更新最新的cve信息到数据库 步骤二、客户端执行dependency-check时,设置较长的校验时间使其无须检测更新,直接从数据库中读取数据 这里注意,步骤一和...
linux git 依赖,linuxea:gitlab-ci/cd Dependency依赖扫描两种方式 (五)
weixin_33431149的博客
05-14 911
I. Dependency如果正在使用GitLab CI / CD,则可以使用依赖项扫描来分析已知漏洞的依赖关系,方法是将CI作业包含在现有.gitlab-ci.yml文件中,或使用Auto DevOps提供的自动依赖项扫描依赖扫描参考:https://docs.gitlab.com/ee/user/project/merge_requests/dependency_scanning.html...
Springboot如何扫描依赖内的组件
qq_46335546的博客
08-19 459
如果你想扫描依赖包的同时,再使用springboot的默认扫描机制,可以俩个同时使用。@ComponentScans(@ComponentScan("依赖包的包名"))@ComponentScan("依赖包的包名")
开源扫描工具 OWASP Dependency-Check怎么安装
04-21
您可以通过以下步骤安装OWASP Dependency-Check: 1.下载OWASP Dependency-Check的zip包。 2.解压zip包。 3.在命令行中跳转到解压后的目录。 4.执行以下命令: dependency-check.sh --project [project name] --scan [target directory]。 注意:在执行命令前,您需要先安装这些依赖项:Java 8及以上版本,Maven和Git。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值