李颜
分享资料个
Dependency-Check 是一个软件组成分析(SCA)工具,它试图检测项目的依赖关系中包含的公开披露的漏洞。它通过确定一个给定的依赖关系是否有一个通用平台枚举(CPE)标识符来实现这一目标。如果发现,它将生成一份报告,链接到相关的CVE条目。
Dependency-check 有一个命令行界面,一个Maven插件,一个Ant任务,以及一个Jenkins插件。核心引擎包含一系列分析器,用于检查项目的依赖关系,收集有关依赖关系的信息(在工具中被称为证据)。然后,这些证据被用来识别给定依赖关系的通用平台枚举(CPE)。如果确定了 CPE,报告中就会列出相关的常见漏洞和暴露(CVE)条目。其他第三方服务和数据源,如NPM Audit API、OSS Index、RetireJS和Bundler Audit都被用于特定技术。
Dependency-check 使用 NIST 托管的NVD数据源自动更新。IMPORTANT NOTE:数据的初始下载可能需要10分钟或更长时间。如果你每七天至少运行一次该工具,只需要下载一个小的JSON文件,以保持数据的本地副本的有效性。
声明:本文内容及配图由入驻作者撰写或者入驻合作网站授权转载。文章观点仅代表作者本人,不代表电子发烧友网立场。文章及其配图仅供工程师学习之用,如有内容侵权或者其他违规问题,请联系本站处理。 举报投诉
全部0条评论
快来发表一下你的评论吧 !
