介绍
Dependency-Check 是一种软件组合分析 (SCA) 工具,它试图检测项目依赖项中包含的公开披露的漏洞。它通过确定给定依赖项是否存在通用平台枚举 (CPE) 标识符来做到这一点。如果找到,它将生成链接到相关 CVE 条目的报告。
使用方法
1.官方github下载
网速慢的:dependency-check-7.0.1-release 百度网盘
链接:https://pan.baidu.com/s/1ltPqwQRR-gMj6ajimLxQ0g
提取码:zkl6
2.运行与扫描
进入该文件的bin目录下
运行以下命令
bash dependency-check.sh --project 自定义项目名称 -s 检测文件路径 -f CSV -o 自定义保存位置
初次运行会更新数据库(很久不用也会更新)
更新完,重新运行命令
结果形式,可自定义,csv格式输出,excel打开如果中文乱码,改成以UTF-8格式编码
我一般参考CVSSv3_BaseSeverity这项的评级