他检查依赖项中是否存在漏洞的原理也跟我们熟知的病毒查杀软件一样,预先定义好目前已知的安全漏洞库,检查依赖包时,发现这些漏洞就会报错,最后定期更新安全漏洞库即可! 工具介绍: Dependency-Check Dependency-Check是OWASP(Open WebApplication Security Project)的一个实用开源程序,用于识别项目依赖项并检查是否存在任何已知...
Dependency-Check依赖NVD漏洞数据库(美国国家通用漏洞数据库)进行依赖漏洞检查(全球信息安全领域著名的漏洞数据库包括中国国家信息安全漏洞库,美国国家信息安全漏洞库NVD,赛门铁克漏洞库等等)官网:https://nvd.nist.gov/ NVD的更新频率是出现问题实时更新,具体链接: https://nvd.nist.gov/general/nvd-dashboard CVSS NVD...
1. 下载和安装 Dependency-Check 首先,确保您已经下载并安装了 OWASP Dependency-Check。您可以从 OWASP Dependency-Check 的 GitHub 页面 下载最新版本。 https://github.com/jeremylong/DependencyCheck/releases/download/v11.1.1/dependency-check-11.1.1-...
Dependency-Check依赖NVD漏洞数据库(美国国家通用漏洞数据库)进行依赖漏洞检查(全球信息安全领域著名的漏洞数据库包括中国国家信息安全漏洞库,美国国家信息安全漏洞库NVD,赛门铁克漏洞库等等)官网:https://nvd.nist.gov/ NVD的更新频率是出现问题实时更新,具体链接: https://nvd.nist.gov/general/nvd-dashboard CVSS NVD...
Dependency-Check是OWASP(Open WebApplication Security Project)的一个实用开源程序,用于识别项目依赖项并检查是否存在任何已知的,公开披露的漏洞。我们可以使用这个应用来进行相关依赖包的扫描。常见的使用方式有两种,应用扫描和插件扫描 方式一:应用扫描 在没有源代码的情况下,我们可以去OWASP官网上面下载扫描工具 ...
// 下载漏洞库 dbUrl:=config.GetStringArg(ConfigDbUrl) iflen(dbUrl)>0{ iferr:=util.ExtractTarUrl(dbUrl,DirDependencyCheckData,0555);err!=nil{ iferr:=util.ExtractTarUrl(dbUrl,DirDependencyCheckData,0770);err!=nil{ returnnil,err }
1.通过官方java程序下载漏洞库至指定目录 首先到https://github.com/stevespringett/nist-data-mirror/releases下载最新的jar包nist-data-mirror.jar,放到一个喜欢的目录,我放到的是D:\soft\NVD下. 执行java -jar nist-data-mirror.jar nist-data 命令,把漏洞下载到本地nist-data目录中。
check 分析当前项目并生成报告。 update-only 更新本地漏洞数据库。 purge 清除本地漏洞数据副本。 第一次执行会下载漏洞库,数据量大概在20多万,视网络情况等待时间可能在10-20分钟左右。 One or more dependencies were identified with known vulnerabilities in J...
diff --git a/README.md b/README.md index 97b16dd..be9e57f 100644 --- a/README.md +++ b/README.md @@ -1,2 +1,21 @@ # dcweb -三方依赖库扫描系统 +Dependency-Check 是一款分析软件构成的工具,他会检测项目中依赖项的公开披露漏洞,常用于扫描java和.NET项目。本项目就是基于此工具的...
dependency-check.bat -s G:\迅雷下载\springmvc-master --project springmvc-master -o springmvc -s :指定软件目录 --project :指定项目名称,这里可以用软件产品的名称,方便后续分析跟踪 -o :指定报告输出目录,默认为当前目录 运行后会下载漏洞库到本地: ...