1、Dependency-Check可以檢查項目依賴包存在的已知、公開披露的漏洞。目前良好的支持Java和.NET;Ruby、Node.js、Python處於實驗階段;僅支持通過(autoconf and cmake)編譯的C/C++。主要提供針對owasp2017 top10的 A9 - Using Components with Known Vulnerabilities.問題的解決方案
2、Dependency-Check有命令行接口、Maven插件、Jenkins插件等。核心功能是通過包含的一系列分析器,來探測項目的依賴,收集依賴的各類信息,通過這些信息來確認其CPE,一旦CPE確認,就可以羅列出CVE(Comman Vulnerability and Exposure)
3、插件的所有公開漏洞信息都存儲在一個巨大的列表或者數據庫里,你可以把它下載到本地,以方便快速查詢;記得定期更新這個列表或者數據庫
參考:
1、https://www.owasp.org/index.php/OWASP_Dependency_Check
2、https://jeremylong.github.io/DependencyCheck/index.html#
3、https://nvd.nist.gov/products/cpe/search/results?keyword=usg&status=FINAL&orderBy=CPEURI&namingFormat=2.2
4、https://wiki.jenkins.io/display/JENKINS/OWASP+Dependency-Check+Plugin
5、https://github.com/jeremylong/DependencyCheck