Navigation

    云、贵、川、渝IT人的圈子
    • Register
    • Login
    • Search
    • 主页
    • 问答
    • 话题
    • 热门
    • 圈子
    • 招聘
    • 活动
    • 项目

    软件组成分析工具OWASP

    极客生涯
    软件组成分析工具owasp
    1
    1
    7
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • Q
      q365317805 last edited by

        Dependency-Check 是一个软件组成分析(SCA)工具,它试图检测项目的依赖关系中包含的公开披露的漏洞。它通过确定一个给定的依赖关系是否有一个通用平台枚举(CPE)标识符来实现这一目标。如果发现,它将生成一份报告,链接到相关的CVE条目。

        Dependency-check 有一个命令行界面,一个Maven插件,一个Ant任务,以及一个Jenkins插件。核心引擎包含一系列分析器,用于检查项目的依赖关系,收集有关依赖关系的信息(在工具中被称为证据)。然后,这些证据被用来识别给定依赖关系的通用平台枚举(CPE)。如果确定了 CPE,报告中就会列出相关的常见漏洞和暴露(CVE)条目。其他第三方服务和数据源,如NPM Audit API、OSS Index、RetireJS和Bundler Audit都被用于特定技术。

        Dependency-check 使用 NIST 托管的NVD数据源自动更新。IMPORTANT NOTE:数据的初始下载可能需要10分钟或更长时间。如果你每七天至少运行一次该工具,只需要下载一个小的JSON文件,以保持数据的本地副本的有效性。
      b8ae4f63-8f12-46a8-9df7-110b0cb93288-image.png

      1 Reply Last reply Reply Quote 0
      • First post
        Last post
      Q
      E
      Y
      U
      I
      A
      Z
      Y
      Y
      罗
      R
      大
      一
      浅
      虾
      千
      I
      Y
      E
      O
      A
      社
      8
      玻
      U
      社群
      昆明网页设计交流吧
      友情链接
      • Funtask
      • Funtask 社区
      • SUWIS
      ©2019-2021 滇ICP备20006698号