开源工具系列 5:DependencyCheck
Dependency-Check 是 OWASP(Open Web Application Security Project)的一个实用开源程序,用于识别项目依赖项并检查是否存在任何已知的,公开披露的漏洞。
DependencyCheck 是什么
Dependency-Check 是 OWASP(Open Web Application Security Project)的一个实用开源程序,用于识别项目依赖项并检查是否存在任何已知的,公开披露的漏洞。目前,已支持 Java、.NET、Ruby、Node.js、Python 等语言编写的程序,并为 C/C++构建系统(autoconf 和 cmake)提供了有限的支持。而且该工具还是 OWASP Top 10 的解决方案的一部分。
Dependency-Check 支持面广(支持多种语言)、可集成性强,作为一款开源工具,在多年来的发展中已经支持和许多主流的软件进行集成,比如:命令行、Ant、Maven、Gradle、Jenkins、Sonar 等;具备使用方便,落地简单等优势。
DependencyCheck 实现原理
依赖性检查可用于扫描应用程序(及其依赖库),执行检查时会将 Common Platform Enumeration (CPE)国家漏洞数据库及 NPM Public Advisories 库下载到本地,再通过核心引擎中的一系列分析器检查项目依赖性,收集有关依赖项的信息。
然后根据收集的依赖项信息与本地的 CPE&NPM 库数据进行对比,如果检查发现扫描的组件存在已知的易受攻击的漏洞则标识,最后生成报告进行展示。
DependencyCheck 集成
与 maven 集成
Dependency-check-maven 非常易于使用,可以作为独立插件使用,也可以作为 maven site 的一部分使用。
该插件需要使用 Maven 3.1 或更高版本,第一次执行时,可能需要 20 分钟或更长时间,因为它会从 NIST 托管的国家漏洞数据库下载漏洞数据到本地备份库。
第一次批量下载后,只要插件每七天至少执行一次,本地漏洞库就会自动更新,更新只需几秒钟。
集成很简单,只需要在项目的 pom 文件中增加 maven 配置即可。
用法一
在 target 目录中创建 dependency-check-report.html
用法二
在 maven site 中创建聚合性的报告
用法三
设置当风险指数(CVSS)大于等于 8 时(CVSS 分数为 0-10)则项目编译失败
用法四
仅更新 NVD(漏洞库)数据,而不执行检查
与 Jenkins 集成
Jenkins 中需要安装插件:Static Analysis Utilities 和 Dependency-Check
该插件具有执行依赖关系分析和构建后查看检查结果的功能。
执行依赖分析配置:
查看检查分析结果配置:
报告查看
样本报告 demo:https://jeremylong.github.io/DependencyCheck/general/SampleReport.html
DependencyCheck 项目信息
Github 项目地址:https://github.com/jeremylong/DependencyCheck
文档地址:https://jeremylong.github.io/DependencyCheck/
关于 HummerRisk
HummerRisk 是开源的云原生安全平台,以非侵入的方式解决云原生的安全和治理问题,核心能力包括混合云的安全治理和 K8S 容器云安全检测。
版权声明: 本文为 InfoQ 作者【HummerCloud】的原创文章。
原文链接:【http://xie.infoq.cn/article/6ae0d1f6d1fcaa1d680ffc553】。文章转载请联系作者。
还未添加个人签名 2022-09-07 加入
还未添加个人简介
评论