OWASP依赖性检查

Dependency-Check是一个软件组合分析实用程序，用于识别项目依赖关系并检查是否存在任何已知的，公开披露的漏洞。目前，支持Java和.NET;为Ruby，Node.js，Python添加了额外的实验支持，并为C / C ++构建系统（autoconf和cmake）提供了有限的支持。该工具可以作为OWASP Top 10使用已知漏洞的组件的解决方案的一部分，该漏洞以前称为OWASP Top 10 2013 A9 - 使用具有已知漏洞的组件。

介绍

OWASP Top 10 2013包含一个新条目：A9-使用具有已知漏洞的组件。依赖性检查当前可用于扫描应用程序（及其依赖库）以识别任何已知的易受攻击的组件。

Jeff Williams和Arshan Dabirsiaghi在题为“不安全库存的不幸现实”的论文中很好地描述了使用已知易受攻击组件的问题。本文的要点是，作为开发社区，我们在应用程序中包含第三方库，其中包含众所周知的已发布漏洞（例如国家漏洞数据库中的漏洞）。

Dependency-check有一个命令行界面，一个Maven插件，一个Ant任务和一个Jenkins插件。核心引擎包含一系列分析器，用于检查项目依赖性，收集有关依赖项的信息（在工具中称为证据）。然后，该证据用于标识给定依赖项的公共平台枚举（CPE）。如果标识了CPE，则会在报告中列出关联的常见漏洞和披露（CVE）条目的列表。

依赖关系检查使用NIST托管的NVD数据源自动更新自身。重要说明：数据的初始下载可能需要十分钟或更长时间。如果您每七天至少运行一次该工具，则只需要下载一个小的XML文件，以使数据的本地副本保持最新。