$ npm install dependency-check -g $ dependency-check <path to module file(s), package.json or module folder> # e.g. $ dependency-check ./package.json --verbose Success! All dependencies used in the code are lis
Node.js wrapper for theOWASP depencency-check CLI tool. npm install -D owasp-dependency-check Usage The easiest way is to add a new NPM script to yourpackage.json, for example: "scripts": { ... "owasp": "owasp-dependency-check --project \"YOUR PROJECT NAME\" [options]" } ...
依赖性检查可用于扫描应用程序(及其依赖库),执行检查时会将 Common Platform Enumeration (CPE)国家漏洞数据库及NPM Public Advisories库下载到本地,再通过核心引擎中的一系列分析器检查项目依赖性,收集有关依赖项的信息。 然后根据收集的依赖项信息与本地的CPE&NPM库数据进行对比,如果检查发现扫描的组件存在已知的易受...
Dependency-Check实现原理 依赖性检查可用于扫描应用程序(及其依赖库),执行检查时会将 Common Platform Enumeration (CPE)国家漏洞数据库及NPM Public Advisories库下载到本地,再通过核心引擎中的一系列分析器检查项目依赖性,收集有关依赖项。 NVD概述 Dependency-Check依赖NVD漏洞数据库(美国国家通用漏洞数据库)进行依赖漏...
其他第三方服务和数据源(如 NPM Audit API、OSS Index、RetireJS 和 Bundler Audit)用于特定技术。 Dependency-check 使用 NIST 托管的NVD 数据源自动更新自身。'''重要提示:''' 初始下载数据可能需要十分钟或更长时间。如果您每七天至少运行一次该工具,则只需下载一个小型 JSON 文件即可使数据的本地副本保持最新...
Dependency-check的原理是通过分析器对文件进行扫描,搜集有关依赖项的信息,然后将这些信息与本地的CPE&NPM库数据进行对比,如果检查发现扫描的组件存在已知的易受攻击的漏洞,则会标识出来,并生成报告进行展示。 Dependency-check的工作方式是通过分析器对文件进行扫描,搜集到的信息被叫做迹象,包括供应商、产品和版本等。
The analysis of npm, pnpm, and yarn projects requires npm, pnpm, or yarn to be installed. The analysis performed utilize the respective audit feature of each. The analysis of Ruby is a wrapper around bundle-audit, which must be installed.Current...
npm owasp-dependency-check:不分析JavaScript代码答案是由NPM模块的一位维护者给我的。在JavaScript的情况...
加上授权即可构建成功 6.3 owasp 需要的外网访问权限包括: https://nvd.nist.gov https://search.maven.org/ https://ossindex.sonatype.org/ https://retirejs.github.io https://github.com/advisories https://registry.npmjs.org https://www.npmjs.com...
Runnpm startinsidesonar-dependency-check-plugin AdjustDEFAULT_PORT,PROXY_URL,PROXY_CONTEXT_PATHfor your environment Distribution Ready to use binaries are available fromGitHub. Plugin version compatibility Please use the newest version. Please keep in mind that this plugin only supports the latest Sonar...