跳转到主要内容

OWASP依赖性检查


Dependency-Check是一个软件组合分析实用程序,用于识别项目依赖关系并检查是否存在任何已知的,公开披露的漏洞。目前,支持Java和.NET;为Ruby,Node.js,Python添加了额外的实验支持,并为C / C ++构建系统(autoconf和cmake)提供了有限的支持。该工具可以作为OWASP Top 10使用已知漏洞的组件的解决方案的一部分,该漏洞以前称为OWASP Top 10 2013 A9  - 使用具有已知漏洞的组件。

介绍


OWASP Top 10 2013包含一个新条目:A9-使用具有已知漏洞的组件。依赖性检查当前可用于扫描应用程序(及其依赖库)以识别任何已知的易受攻击的组件。

Jeff Williams和Arshan Dabirsiaghi在题为“不安全库存的不幸现实”的论文中很好地描述了使用已知易受攻击组件的问题。本文的要点是,作为开发社区,我们在应用程序中包含第三方库,其中包含众所周知的已发布漏洞(例如国家漏洞数据库中的漏洞)。

Dependency-check有一个命令行界面,一个Maven插件,一个Ant任务和一个Jenkins插件。核心引擎包含一系列分析器,用于检查项目依赖性,收集有关依赖项的信息(在工具中称为证据)。然后,该证据用于标识给定依赖项的公共平台枚举(CPE)。如果标识了CPE,则会在报告中列出关联的常见漏洞和披露(CVE)条目的列表。

依赖关系检查使用NIST托管的NVD数据源自动更新自身。重要说明:数据的初始下载可能需要十分钟或更长时间。如果您每七天至少运行一次该工具,则只需要下载一个小的XML文件,以使数据的本地副本保持最新。

 

Quick Download

Version 5.1.0

Version 4.0.2

Other Plugins

Integrations

原文:https://www.owasp.org/index.php/OWASP_Dependency_Check

本文:

讨论:请加入知识星球【首席架构师圈】

Tags
 
知识星球
 
微信公众号
 
视频号