当前位置: 首页 > article >正文

Dependency Check:一款针对应用程序依赖组件的安全检测工具

关于Dependency Check

Dependency-Check 是一款软件组合分析 (SCA) 工具,可尝试检测项目依赖项中包含的公开披露的漏洞。它通过确定给定依赖项是否存在通用平台枚举 (CPE) 标识符来实现此目的。如果找到,它将生成一份链接到相关 CVE 条目的报告。

Dependency-check 有一个命令行界面、一个 Maven 插件、一个 Ant 任务和一个 Jenkins 插件。核心引擎包含一系列分析器,用于检查项目依赖项、收集有关依赖项的信息(在工具中称为证据)。然后使用证据来识别给定依赖项的通用平台枚举 (CPE) 。如果识别出 CPE,则会在报告中列出相关的通用漏洞和暴露 (CVE)条目列表。其他第三方服务和数据源(如 NPM Audit API、OSS Index、RetireJS 和 Bundler Audit)用于特定技术。

Dependency-check 使用 NIST 托管的 NVD 数据源自动更新自身。'''重要提示:''' 初始下载数据可能需要十分钟或更长时间。如果您每七天至少运行一次该工具,则只需下载一个小型 JSON 文件即可使数据的本地副本保持最新。

功能介绍

Dependency-check 的工作方式是收集有关其扫描的文件的信息(使用分析器)。收集的信息称为证据;收集的证据有三种类型:供应商、产品和版本。例如,JarAnalyzer 将从 Manifest、pom.xml 和扫描的 JAR 文件中的包名称中收集信息,并且它有启发式方法将来自各种来源的信息放入一个或多个证据桶中。

在 NVD CVE 数据中每个 CVE 条目都有一个易受攻击的软件列表:

<entry id="CVE-2012-5055">

  ...

    <vuln:vulnerable-software-list>

      <vuln:product>cpe:/a:vmware:springsource_spring_security:3.1.2</vuln:product>

      <vuln:product>cpe:/a:vmware:springsource_spring_security:2.0.4</vuln:product>

      <vuln:product>cpe:/a:vmware:springsource_spring_security:3.0.1</vuln:product>

    </vuln:vulnerable-software-list>

  ...

  </entry>

接下来,CPE 数据将被收集并存储在 Lucene 索引中。Dependency-check 然后使用收集到的证据并尝试匹配 Lucene CPE 索引中的条目。如果找到,CPEAnalyzer 将向依赖项添加标识符,然后添加到报告中。一旦识别出 CPE,相关的 CVE 条目就会添加到报告中。

工具配置

导入用于签署所有依赖检查版本的 GPG 密钥:

gpg --keyserver hkp://keyserver.ubuntu.com:80 --recv-keys 259A55407DD6C00299E6607EFFDE55BE73A2D1ED

从GitHub Release下载依赖检查命令行工具和相关的 GPG 签名文件,验证下载的加密完整性:

gpg --verify dependency-check-10.0.4-release.zip.asc

将 zip 文件解压到计算机上的某个位置,并将“bin”目录放入路径环境变量中。

工具安装和使用

自制

$ brew install dependency-check

窗户

dependency-check.bat --project "My App Name" --scan "c:\java\application\lib"

*尼克斯

dependency-check.sh --project "My App Name" --scan "/java/application/lib"

Docker使用

Linux的

#!/bin/sh

 

DC_VERSION="latest"

DC_DIRECTORY=$HOME/OWASP-Dependency-Check

DC_PROJECT="dependency-check scan: $(pwd)"

DATA_DIRECTORY="$DC_DIRECTORY/data"

CACHE_DIRECTORY="$DC_DIRECTORY/data/cache"

 

if [ ! -d "$DATA_DIRECTORY" ]; then

    echo "Initially creating persistent directory: $DATA_DIRECTORY"

    mkdir -p "$DATA_DIRECTORY"

fi

if [ ! -d "$CACHE_DIRECTORY" ]; then

    echo "Initially creating persistent directory: $CACHE_DIRECTORY"

    mkdir -p "$CACHE_DIRECTORY"

fi

 

# Make sure we are using the latest version

docker pull owasp/dependency-check:$DC_VERSION

 

docker run --rm \

    -e user=$USER \

    -u $(id -u ${USER}):$(id -g ${USER}) \

    --volume $(pwd):/src:z \

    --volume "$DATA_DIRECTORY":/usr/share/dependency-check/data:z \

    --volume $(pwd)/odc-reports:/report:z \

    owasp/dependency-check:$DC_VERSION \

    --scan /src \

    --format "ALL" \

    --project "$DC_PROJECT" \

    --out /report

    # Use suppression like this: (where /src == $pwd)

    # --suppression "/src/security/dependency-check-suppression.xml"

窗户

@echo off

 

set DC_VERSION="latest"

set DC_DIRECTORY=%USERPROFILE%\OWASP-Dependency-Check

SET DC_PROJECT="dependency-check scan: %CD%"

set DATA_DIRECTORY="%DC_DIRECTORY%\data"

set CACHE_DIRECTORY="%DC_DIRECTORY%\data\cache"

 

IF NOT EXIST %DATA_DIRECTORY% (

    echo Initially creating persistent directory: %DATA_DIRECTORY%

    mkdir %DATA_DIRECTORY%

)

IF NOT EXIST %CACHE_DIRECTORY% (

    echo Initially creating persistent directory: %CACHE_DIRECTORY%

    mkdir %CACHE_DIRECTORY%

)

 

rem Make sure we are using the latest version

docker pull owasp/dependency-check:%DC_VERSION%

 

docker run --rm ^

    --volume %CD%:/src ^

    --volume %DATA_DIRECTORY%:/usr/share/dependency-check/data ^

    --volume %CD%/odc-reports:/report ^

    owasp/dependency-check:%DC_VERSION% ^

    --scan /src ^

    --format "ALL" ^

    --project "%DC_PROJECT%" ^

    --out /report

    rem Use suppression like this: (where /src == %CD%)

    rem --suppression "/src/security/dependency-check-suppression.xml"

许可证协议

本项目的开发与发布遵循Apache-2.0开源许可协议。

项目地址

Dependency Check:【传送门】

参考资料

GitHub - jeremylong/DependencyCheck: OWASP dependency-check is a software composition analysis utility that detects publicly disclosed vulnerabilities in application dependencies.

OWASP Dependency-Check | OWASP Foundation


http://www.kler.cn/a/320841.html

相关文章:

  • 【网络安全面经】OSI七层模型每层都有什么协议
  • Flink_DataStreamAPI_执行环境
  • 21.3D surface
  • 【弱监督视频异常检测】2024-ESWA-基于扩散的弱监督视频异常检测常态预训练
  • ONLYOFFICE8.2版本测评,团队协作的办公软件
  • leetcode 扫描线专题 06-leetcode.253 meeting room ii 力扣.253 会议室 II
  • ACM MM24 | Hi3D: 3D生成领域再突破!新视角生成和高分辨率生成双SOTA(复旦智象等)
  • Java 编码系列:异常处理与自定义异常
  • 一些广泛认可的编程工具,在不同的方面帮助我们提升效率
  • 使用cmd命令窗口操作mongodb
  • Scikit-LearnTensorFlow机器学习实用指南(三):一个完整的机器学习项目【下】
  • mask2former训练自定义数据集
  • Leetcode算法基础篇-位运算
  • 架构师论文备考-论软件系统架构评估
  • 云轴科技ZStack AIOS平台智塔亮相华为全联接大会
  • 在 macOS 上安装 ADB给安卓手机装APK,同样适用智能电视、车机
  • 单词的秘密2
  • DNS协议解析
  • leetcode第十三题:罗马数字转整数
  • win 录屏软件有哪些?5个软件帮助你快速进行电脑录屏。
  • 记录一次学习--委派攻击学习
  • 关于在vue2中自定义右键弹窗
  • nginx使用stream转发流量
  • Elasticsearch 实战应用
  • .netCore运行的环境WindowsHosting和dotnet-sdk区别
  • 自动化测试数据管理问题