【安全工具】OWASP Dependency Check
OWASP依赖性检查
Dependency-Check是一个软件组合分析实用程序,用于识别项目依赖关系并检查是否存在任何已知的,公开披露的漏洞。目前,支持Java和.NET;为Ruby,Node.js,Python添加了额外的实验支持,并为C / C ++构建系统(autoconf和cmake)提供了有限的支持。该工具可以作为OWASP Top 10使用已知漏洞的组件的解决方案的一部分,该漏洞以前称为OWASP Top 10 2013 A9 - 使用具有已知漏洞的组件。
介绍
OWASP Top 10 2013包含一个新条目:A9-使用具有已知漏洞的组件。依赖性检查当前可用于扫描应用程序(及其依赖库)以识别任何已知的易受攻击的组件。
Jeff Williams和Arshan Dabirsiaghi在题为“不安全库存的不幸现实”的论文中很好地描述了使用已知易受攻击组件的问题。本文的要点是,作为开发社区,我们在应用程序中包含第三方库,其中包含众所周知的已发布漏洞(例如国家漏洞数据库中的漏洞)。
Dependency-check有一个命令行界面,一个Maven插件,一个Ant任务和一个Jenkins插件。核心引擎包含一系列分析器,用于检查项目依赖性,收集有关依赖项的信息(在工具中称为证据)。然后,该证据用于标识给定依赖项的公共平台枚举(CPE)。如果标识了CPE,则会在报告中列出关联的常见漏洞和披露(CVE)条目的列表。
依赖关系检查使用NIST托管的NVD数据源自动更新自身。重要说明:数据的初始下载可能需要十分钟或更长时间。如果您每七天至少运行一次该工具,则只需要下载一个小的XML文件,以使数据的本地副本保持最新。
Quick Download
Version 5.1.0
- Command Line
- Ant Task
- Maven Plugin
- Gradle Plugin
- Mac Homebrew:
brew update && brew install dependency-check
Version 4.0.2
Other Plugins
Integrations
讨论:请加入知识星球【首席架构师圈】
- 461 次浏览