CI/DI (四)OWASP Dependency-Check python

最新推荐文章于 2025-02-21 17:11:50 发布
最新推荐文章于 2025-02-21 17:11:50 发布
阅读量906 收藏
点赞数
文章标签: ci
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_50750933/article/details/126377493
版权

练习Test方法
SAST, DAST, SAC
SCA案例五, Github有Dependency review做组件扫描。这次测试一个cmd程序。

snapshot:

执行扫描

 .\dependency-check.bat --project "flaskProject_v5" --scan "D:\flaskProject_v5"

生成结果报告,没有检查到requirement.txt插件包

D:\dependency-check\bin\dependency-check-report.html

在这里插入图片描述

执行扫描,没有检查到pom.xml插件包。应该是不支持maven

.\dependency-check.bat --project "fp" --scan "D:\sspyriso-fp"

fix:
扫描时候报错,检查jsrepository.json文件内容是否为空。解决办法手动下载此文件,或者把文件内容粘贴过来。
dependency-check\data\jsrepository.json
https://raw.githubusercontent.com/Retirejs/retire.js/master/repository/jsrepository.json

在这里插入图片描述

Reference:
OWASP Dependency-Check
https://owasp.org/www-project-dependency-check/

Download dependency-check

dependency-check/ About command指令介绍
https://jeremylong.github.io/DependencyCheck/dependency-check-cli/index.html

Failed to initialize the RetireJS repo
https://github.com/jeremylong/DependencyCheck/issues/2599

jsrepository.json
https://download.csdn.net/download/weixin_50750933/86402307

DependencyCheckOWASP依赖项检查是一种软件组成分析实用程序,它可以检测应用程序依赖项中公开披露的漏洞
02-05
依赖检查 依赖项检查是一种软件组成分析(SCA)工具,它试图检测项目依赖项中包含的公开披露的漏洞。 它通过确定给定依赖项是否存在通用平台枚举(CPE)标识符来完成此操作。 如果找到,它将生成一个报告,链接到相关的CVE条目。 可以在上找到文档和生产二进制发行版的。 另外,可以在上找到有关体系结构和扩展依赖项检查的方法的更多信息。 6.0.0升级通知 如果升级到6.0.0或更高版本,则会发生重大更改。 如果收到指示无法连接数据库的错误,则需要运行purge命令来删除旧数据库: gradle: ./gradlew dependencyCheckPurge maven: mvn org.owa
python的依赖性安全性检查
weixin_34281537的博客
10-23 341
1、safety 安装: pip install safety 使用: 检查整个系统的依赖包安全性safety check检查某个项目的依赖性安全safety check -r requirements.txt 2、dependency-check dependency-check虽然可以检查python项目,但是能力一般,主要还是用来检查java项目 3、原理: 依赖性检查就是利用各种工具和方法...
dependency-check-12.1.0 更新漏洞库报错处理
最新发布
GalaxySpaceX的博客
02-21 827
dependency-check-12.1.0 更新漏洞库报错处理
代码依赖包安全漏洞检测 (OWASPDependency Check
loujun2016的博客
04-07 7819
构建DevSecOps过程中,代码依赖成分管理是一个较为头疼的事情,在某个甲方时自研了一套SCA的软件成分管理工具,由于功能做的比较重,在新公司并不适用。于是找到了OWASP开源的代码依赖扫描工具 以下有部分内容为摘抄自其它博客 此帖目的为记录遇到的问题 集成到idea工具时出现的问题一:Unable to download the NVD CVE data; the results may not include the most recent CPE/CVEs from the NVD. 问题.
OWASP Dependency-Check 使用
qq_33439829的博客
12-01 1243
我们在开发过程中,通常会使用一些第三方依赖,例如: poi,fastjson,hutool等。他的原理就是, 它通过检查我们的依赖,然后对比一些公开的漏洞库。来给我们生成报告,告知我们哪些依赖是有问题的,通过这些提示,我们可以去提高依赖的版本(一般高版本会修复相关漏洞)或者更换依赖。这个是因为这个文件,因为网络问题,没自动下载下来,我们只需手动把这个文件下载下来,放到对应的位置(提示信息上有)正常情况下,需要等待10多分钟,因为在下载漏洞库。因为需要下载漏洞库的资源,所以,需要有梯子哈。
使用OWASP Dependency-Check进行第三方依赖包安全扫描实践
热门推荐
富贵的博客
10-09 1万+
1、简介 OWASP是开源的、非盈利的全球性安全组织,致力于应用软件的安全研究。OWASP的使命是使应用软件更加安全,使企业和组织能够对应用安全风险作出更清晰的决策。OWASP的研究成果被美、欧、日等多个国家的32个政府与行业组织机构引用成为近百项国际法规、标准、指南和行业行为准则。 Dependency-CheckOWASP(Open Web Application Security Project)的一个实用开源程序,用于识别项目依赖项并检查是否存在任何已知的,公开披露的漏洞。目前,已支持Java、.
【Mercurial安全机制揭秘】:Python库文件管理的安全问题防范
![Mercurial](https://img-blog.csdnimg.cn/img_convert/f9f51d3339d33c6425d6b13172162066.png) ...本章将从Mercurial的基本概念入手,深入探讨其在Python库管理中的应用,并概述如何利用Mercurial保障Python库的安
【Maven资源包3.6.3安全加固】:提升项目安全性的专家建议
[【Maven资源包3.6.3安全加固】:提升项目安全性的专家建议](https://opengraph.githubassets.com/dc1cc4d8894e37807e89d015ce15485389f845a14b8097e42b3ba6af3a52e8dc/apache/maven-dependency-analyzer) ...
Tornado项目架构设计:分层与模块化构建方法详解
Tornado是一个Python编写的开源web框架和异步网络库,适用于需要处理大量并发连接的应用程序。Tornado的非阻塞IO设计使其成为一个理想的web服务器后端,尤其适用于实时web服务。 ## 1.1 Tornado框架的特性 Tornado
团队协作中的图层管理:最佳实践分享
![团队协作中的图层管理:最佳实践分享]... ...# 1.... ## 1.1 概述 在现代化的IT项目管理中,图层管理成为了一种重要的组织架构方式。图层不仅能够帮助团队将复杂问题分解为更小、更易于管理的部分,而且
【tc.itk二次开发高级技术】:集成与部署的深度探索
!... # 摘要 tc.itk是一个用于软件集成和部署的技术框架,具有模块化设计和灵活的集成策略。本文首先概述了tc.itk二次开发的基础知识,然后深入解析了tc.itk集成技术的核心组件及其集成策略。通过案例分析,本文展示了...
北京化工大学-线性系统
03-24
北京化工大学-线性系统 PPT 为报考化工大学提供资料由王建林老师主讲
jsrepository.json
08-12
owasp-dependency-check扫描工具data目录下jsrepository.json文件
OWASP Dependency-Check 使用教程
gitblog_00882的博客
08-08 1140
OWASP Dependency-Check 使用教程 DependencyCheckOWASP dependency-check is a software composition analysis utility that detects publicly disclosed vulnerabilities in application dependencies.项目地址:https://g...
有了这个网络安全面试题,面试就像开了挂!(附PDF)
lvaolan的博客
02-26 1508
还有兄弟不知道网络安全面试可以提前刷题吗?费时一周整理的160+网络安全面试题,金九银十,做网络安全面试里的显眼包!王岚嵚工程师面试题(附答案),只能帮兄弟们到这儿了!如果你能答对70%,找一个安全工作,问题不大。对于有1-3年工作经验,想要跳槽的朋友来说,也是很好的温习资料!【完整版领取方式在文末!!​​​​内容实在太多,不一一截图了。
依赖包安全漏洞扫描工具——Dependency-CheckOWASP)_autoupdate is disabled and the database does not e
2401_83974783的博客
04-16 1400
重新运行 OWASP Dependency-Check,并确保数据库文件已正确配置和加载。这个方向初期比较容易入门一些,掌握一些基本技术,拿起各种现成的工具就可以开黑了。如果上述步骤仍然无法解决问题,你可以尝试手动下载数据库文件并将其放置在 OWASP Dependency-Check 的数据目录中。等待执行完成后,我们可以在指定的报表输出路径上,看到生成的html文件。dependency-check.bat linux下就是.sh。(这一步出现问题的话,可以看一下文档底部的注意事项!
如何使用OWASP Dependency Check的命令行(CLI)模式进行依赖库安全漏洞扫描
tyu1853的博客
01-11 6657
OWASP Dependency Check是一款用于识别项目的依赖项是否有已知漏洞的工具,本文介绍一下如何使用Dependency Check工具的命令行模式进行依赖库漏洞扫描。 【下载地址】:安装包下载 【环境要求】: 操作系统:centos7.5 【使用方法】 1、首先解压缩dependency-check压缩包,执行命令cd dependency-check/bin/进入Depe...
开源工具系列5:DependencyCheck
qq_44005305的博客
03-08 4434
Dependency-CheckOWASP(Open Web Application SecurityProject)的一个实用开源程序,用于识别项目依赖项并检查是否存在任何已知的,公开披露的漏洞。
组件扫描 dependency check
weixin_45596492的博客
03-28 879
介绍 Dependency-Check 是一种软件组合分析 (SCA) 工具,它试图检测项目依赖项中包含的公开披露的漏洞。它通过确定给定依赖项是否存在通用平台枚举 (CPE) 标识符来做到这一点。如果找到,它将生成链接到相关 CVE 条目的报告。 使用方法 1.官方github下载 ​​​​​​GitHub - jeremylong/DependencyCheck: OWASP dependency-check is a software composition analysis utility t
GitLab-CI/CD怎么集成Dependency-Check
05-27
GitLab-CI/CD可以很方便地集成Dependency-Check来实现依赖扫描。下面是具体的集成步骤: 1. 安装Dependency-Check 首先需要安装Dependency-Check工具。可以到官网下载对应的软件包,然后解压到任意目录即可。 2. ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值