软件组成分析工具OWASP

q365317805

  Dependency-Check 是一个软件组成分析（SCA）工具，它试图检测项目的依赖关系中包含的公开披露的漏洞。它通过确定一个给定的依赖关系是否有一个通用平台枚举（CPE）标识符来实现这一目标。如果发现，它将生成一份报告，链接到相关的CVE条目。

  Dependency-check 有一个命令行界面，一个Maven插件，一个Ant任务，以及一个Jenkins插件。核心引擎包含一系列分析器，用于检查项目的依赖关系，收集有关依赖关系的信息（在工具中被称为证据）。然后，这些证据被用来识别给定依赖关系的通用平台枚举（CPE）。如果确定了 CPE，报告中就会列出相关的常见漏洞和暴露（CVE）条目。其他第三方服务和数据源，如NPM Audit API、OSS Index、RetireJS和Bundler Audit都被用于特定技术。

  Dependency-check 使用 NIST 托管的NVD数据源自动更新。IMPORTANT NOTE：数据的初始下载可能需要10分钟或更长时间。如果你每七天至少运行一次该工具，只需要下载一个小的JSON文件，以保持数据的本地副本的有效性。