Dependency-Check 是一个软件组成分析(SCA)工具,它试图检测项目的依赖关系中包含的公开披露的漏洞。它通过确定一个给定的依赖关系是否有一个通用平台枚举(CPE)标识符来实现这一目标。如果发现,它将生成一份报告,链接到相关的CVE条目。
Dependency-check 有一个命令行界面,一个Maven插件,一个Ant任务,以及一个Jenkins插件。核心引擎包含一系列分析器,用于检查项目的依赖关系,收集有关依赖关系的信息(在工具中被称为证据)。然后,这些证据被用来识别给定依赖关系的通用平台枚举(CPE)。如果确定了 CPE,报告中就会列出相关的常见漏洞和暴露(CVE)条目。其他第三方服务和数据源,如NPM Audit API、OSS Index、RetireJS和Bundler Audit都被用于特定技术。
Dependency-check 使用 NIST 托管的NVD数据源自动更新。IMPORTANT NOTE:数据的初始下载可能需要10分钟或更长时间。如果你每七天至少运行一次该工具,只需要下载一个小的JSON文件,以保持数据的本地副本的有效性。