CI/DI (四)OWASP Dependency-Check python

最新推荐文章于 2024-05-22 18:05:32 发布
最新推荐文章于 2024-05-22 18:05:32 发布
阅读量737 收藏
点赞数
文章标签: ci
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_50750933/article/details/126377493
版权

练习Test方法
SAST, DAST, SAC
SCA案例五, Github有Dependency review做组件扫描。这次测试一个cmd程序。

snapshot:

执行扫描

 .\dependency-check.bat --project "flaskProject_v5" --scan "D:\flaskProject_v5"

生成结果报告,没有检查到requirement.txt插件包

D:\dependency-check\bin\dependency-check-report.html

在这里插入图片描述

执行扫描,没有检查到pom.xml插件包。应该是不支持maven

.\dependency-check.bat --project "fp" --scan "D:\sspyriso-fp"

fix:
扫描时候报错,检查jsrepository.json文件内容是否为空。解决办法手动下载此文件,或者把文件内容粘贴过来。
dependency-check\data\jsrepository.json
https://raw.githubusercontent.com/Retirejs/retire.js/master/repository/jsrepository.json

在这里插入图片描述

Reference:
OWASP Dependency-Check
https://owasp.org/www-project-dependency-check/

Download dependency-check

dependency-check/ About command指令介绍
https://jeremylong.github.io/DependencyCheck/dependency-check-cli/index.html

Failed to initialize the RetireJS repo
https://github.com/jeremylong/DependencyCheck/issues/2599

jsrepository.json
https://download.csdn.net/download/weixin_50750933/86402307

weixin_50750933
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
owasp-dependency-check:为OWASP Dependency-Check应用程序提供预下载的NVDCVE更新
03-21
tgagor / owasp-dependency-check 如果您需要有关此工具的更多信息,请在此处检查: : 该映像包含允许在CI / CD管道中运行测试或在项目中独立运行的应用程序和运行时环境。 怎么跑 假设您的代码位于code目录中的当前目录中,并且您想要将报告放置在result目录中,那么执行将如下所示: docker run -ti --rm \ -v $( pwd ) /code:/code:ro \ -v $( pwd ) /result:/report \ tgagor/owasp-dependency-check \ --format HTML --project dummy --scan /code --out /report 由于上面的示例参数是在CMD默认设置的,因此调用它的最简单方法是: docker run -ti -
DependencyCheckOWASP依赖项检查是一种软件组成分析实用程序,它可以检测应用程序依赖项中公开披露的漏洞
02-05
依赖检查 依赖项检查是一种软件组成分析(SCA)工具,它试图检测项目依赖项中包含的公开披露的漏洞。 它通过确定给定依赖项是否存在通用平台枚举(CPE)标识符来完成此操作。 如果找到,它将生成一个报告,链接到相关的CVE条目。 可以在上找到文档和生产二进制发行版的。 另外,可以在上找到有关体系结构和扩展依赖项检查的方法的更多信息。 6.0.0升级通知 如果升级到6.0.0或更高版本,则会发生重大更改。 如果收到指示无法连接数据库的错误,则需要运行purge命令来删除旧数据库: gradle: ./gradlew dependencyCheckPurge maven: mvn org.owa
推荐一款代码依赖包安全漏洞检查插件
kingwinstar的博客
05-10 1535
前言 今天向大家推荐一款代码依赖包漏洞检查maven插件–dependency-check-maven。通过这个插件可以扫描出项目中是否依赖已经存在的安全漏洞包 如何使用 前置条件:该插件需要使用maven 3.1或更高版本 1、在项目pom引入dependency-check-maven插件 GAV <build> <plugins> <plugin> <groupId>org.
PHP质量工具系列之 Owasp Dependency-Check
made4971的博客
05-22 896
目前,已支持Java、.NET、Ruby、Node.js、Python等语言编写的程序,并为C/C++构建系统(autoconf和cmake)提供了有限的支持。扫描完成后会在 -o 指定的目录生成dependency-check-report.html, 流缆该页面查看结果。直接覆盖掉 ./dependency-check/data/jsrepository.json 里面的内容即可。不扫描net程序,启用该选项,否则报错如下,若需要扫描.net程序,直接安装.net Framework即可。
python的依赖性安全性检查
weixin_34281537的博客
10-23 289
1、safety 安装: pip install safety 使用: 检查整个系统的依赖包安全性safety check检查某个项目的依赖性安全safety check -r requirements.txt 2、dependency-check dependency-check虽然可以检查python项目,但是能力一般,主要还是用来检查java项目 3、原理: 依赖性检查就是利用各种工具和方法...
代码依赖包安全漏洞检测 (OWASPDependency Check
loujun2016的博客
04-07 7564
构建DevSecOps过程中,代码依赖成分管理是一个较为头疼的事情,在某个甲方时自研了一套SCA的软件成分管理工具,由于功能做的比较重,在新公司并不适用。于是找到了OWASP开源的代码依赖扫描工具 以下有部分内容为摘抄自其它博客 此帖目的为记录遇到的问题 集成到idea工具时出现的问题一:Unable to download the NVD CVE data; the results may not include the most recent CPE/CVEs from the NVD. 问题.
OWASP Dependency-Check 使用
qq_33439829的博客
12-01 779
我们在开发过程中,通常会使用一些第三方依赖,例如: poi,fastjson,hutool等。他的原理就是, 它通过检查我们的依赖,然后对比一些公开的漏洞库。来给我们生成报告,告知我们哪些依赖是有问题的,通过这些提示,我们可以去提高依赖的版本(一般高版本会修复相关漏洞)或者更换依赖。这个是因为这个文件,因为网络问题,没自动下载下来,我们只需手动把这个文件下载下来,放到对应的位置(提示信息上有)正常情况下,需要等待10多分钟,因为在下载漏洞库。因为需要下载漏洞库的资源,所以,需要有梯子哈。
使用OWASP Dependency-Check进行第三方依赖包安全扫描实践
热门推荐
富贵的博客
10-09 1万+
1、简介 OWASP是开源的、非盈利的全球性安全组织,致力于应用软件的安全研究。OWASP的使命是使应用软件更加安全,使企业和组织能够对应用安全风险作出更清晰的决策。OWASP的研究成果被美、欧、日等多个国家的32个政府与行业组织机构引用成为近百项国际法规、标准、指南和行业行为准则。 Dependency-CheckOWASP(Open Web Application Security Project)的一个实用开源程序,用于识别项目依赖项并检查是否存在任何已知的,公开披露的漏洞。目前,已支持Java、.
dependency-check-plugin:用于OWASP Dependency-Check的Jenkins插件。 检查项目组件是否存在已知漏洞(例如CVE)
05-13
该工具可以是OWASP Top 10 2017:A9-使用具有已知漏洞的组件的解决方案的一部分。 该插件可以独立执行依赖性检查分析并可视化结果。寻求新的维护者由于时间限制,其他承诺以及Jenkins项目的价值与我自己的价值观...
sonar-dependency-check-plugin-3.0.0-SNAPSHOT.jar
09-06
sonar安全扫描插件
dependency-check-8.2.1-release OWASP 组件依赖检查工具,包含压制bug文件
07-12
OWASP Dependency-Check, java依赖jar安全检查工具 命令行参数说明 https://jeremylong.github.io/DependencyCheck/dependency-check-cli/arguments.html 压制bug文件说明 ...
jsrepository.json
08-12
owasp-dependency-check扫描工具data目录下jsrepository.json文件
JSRepository_前端资源缓存版本库_
09-30
可以通过这个类进行前端资源的缓存管理,使用版本号更新。由于使用的是 indexDB 内存最小 > 120M,可以存储一般的音频/图像/小视频/JS/Data Object 等资源
北京化工大学-线性系统
03-24
北京化工大学-线性系统 PPT 为报考化工大学提供资料由王建林老师主讲
dependency-check-10.0.2-release.zip
最新发布
07-13
广泛支持:Dependency-Check支持多种编程语言和项目类型,包括Java、.NET、Ruby、Node.js、Python等,为C/C++构建系统(如autoconf和cmake)也提供了有限的支持。 集成性强:该工具可以轻松地与主流开发工具和持续...
依赖包安全漏洞扫描工具——Dependency-CheckOWASP)_autoupdate is disabled and the database does not e
2401_83974783的博客
04-16 1085
重新运行 OWASP Dependency-Check,并确保数据库文件已正确配置和加载。这个方向初期比较容易入门一些,掌握一些基本技术,拿起各种现成的工具就可以开黑了。如果上述步骤仍然无法解决问题,你可以尝试手动下载数据库文件并将其放置在 OWASP Dependency-Check 的数据目录中。等待执行完成后,我们可以在指定的报表输出路径上,看到生成的html文件。dependency-check.bat linux下就是.sh。(这一步出现问题的话,可以看一下文档底部的注意事项!
如何使用OWASP Dependency Check的命令行(CLI)模式进行依赖库安全漏洞扫描
tyu1853的博客
01-11 6307
OWASP Dependency Check是一款用于识别项目的依赖项是否有已知漏洞的工具,本文介绍一下如何使用Dependency Check工具的命令行模式进行依赖库漏洞扫描。 【下载地址】:安装包下载 【环境要求】: 操作系统:centos7.5 【使用方法】 1、首先解压缩dependency-check压缩包,执行命令cd dependency-check/bin/进入Depe...
开源工具系列5:DependencyCheck
qq_44005305的博客
03-08 2759
Dependency-CheckOWASP(Open Web Application SecurityProject)的一个实用开源程序,用于识别项目依赖项并检查是否存在任何已知的,公开披露的漏洞。
GitLab-CI/CD怎么集成Dependency-Check
05-27
GitLab-CI/CD可以很方便地集成Dependency-Check来实现依赖扫描。下面是具体的集成步骤: 1. 安装Dependency-Check 首先需要安装Dependency-Check工具。可以到官网下载对应的软件包,然后解压到任意目录即可。 2. 配置GitLab-CI/CD 在项目的根目录下创建一个名为`.gitlab-ci.yml`的文件,并添加以下内容: ``` image: maven:3.6.3-jdk-11 stages: - build - test - dependency-check before_script: - mvn --version build: stage: build script: - mvn clean package test: stage: test script: - mvn test dependency-check: stage: dependency-check script: - wget https://dl.bintray.com/jeremy-long/owasp/dependency-check-5.3.2-release.zip - unzip dependency-check-5.3.2-release.zip - cd dependency-check-5.3.2-release/bin - ./dependency-check.sh --project "My Project" --scan ./../../target/*.jar --out ./../../dependency-check-report artifacts: paths: - dependency-check-report ``` 以上配置文件定义了三个阶段:build、test和dependency-check。其中,build和test阶段是项目的编译和测试阶段,dependency-check阶段是依赖扫描阶段。在dependency-check阶段中,我们下载并安装了Dependency-Check工具,并使用它来扫描项目的依赖关系。扫描结果将以HTML报告的形式保存在`dependency-check-report`目录下。 3. 提交并运行Pipeline 将`.gitlab-ci.yml`文件提交到项目的Git仓库中,并在GitLab上开启CI/CD功能。然后,就可以运行Pipeline了。Pipeline运行结束后,可以在GitLab的Pipeline页面查看扫描结果。 以上就是集成Dependency-Check的具体步骤,希望可以帮到你。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值