标签:project 索引 简介 -- 修复建议 isp rod hash 等级
Dependency-Check 是一款分析软件构成的工具,他会检测项目中依赖项的公开披露漏洞。Dependency-Check 常用于扫描java和.NET程序,实验性的分析器有python、ruby、php以及nodejs,这些作为实验性研究是因为他们的高误报率。如果你公司主要使用c,java,这个系统作为作为上线前的扫描不乏是个好选择。
./dependency-check.sh -n --project "test" --scan "WEB-INF/lib/" -o output.html
- -n 不更新漏洞库,默认4小时自动拉取
- --project 项目名字
- --scan 扫描的路径或文件(可以扫目录,也可以直接扫压缩文件,zip,war,tgz等)
.
/dependency-check.sh -n --project "test" --scan "strusts2.war" --log logfile
- 扫描压缩文件
- --log 日志记录
.
./dependency-check.sh --updateonly
- --updateonly 只更新数据库
不完整的报告截图:
理解了上面depency-check的原理后,应业务的需求,需要把这个开源工具二进制版本封装成web界面,可供自己和业务方调用。笔者也实现了这个功能,github地址。在业务实际使用场景:
1、如果项目迭代很快,项目很多。可以考虑配合代码管理系统,每次新发布前,自动打包文件进行扫描(报告没有修复参考,一般是推荐官方最新版包)
2、如果项目不多,或者监控重点项目。可让业务提单,安全人员进行扫描后提供结果和修复建议给到业务方
笔者对项目封装后的项目地址:https://github.com/he1m4n6a/dcweb,可以很方便的提交三方依赖库的压缩包进行扫描即可。
标签:project 索引 简介 -- 修复建议 isp rod hash 等级
原文地址:https://www.cnblogs.com/he1m4n6a/p/9230888.html