开源漏扫工具:DependencyCheck使用步骤

最新推荐文章于 2024-12-19 20:05:09 发布
最新推荐文章于 2024-12-19 20:05:09 发布
阅读量982 收藏 8
点赞数 12
文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/weixin_45484059/article/details/140957494
版权

第一步:下载本地

链接:下载本地 
提取码:YmXz

将需要扫描的jar包放到指定的目录下,在扫描工具的bin下执行这条命令

教程地址:https://www.cnblogs.com/startingpoint-fly/p/18220122

第二步:dependency-check.sh --disableRetireJS --disableNodeJS --project 项目名 --scan 文件地址 -out 输出地址    (我有个问题是直接扫描war,问了同事说要解压用lib包)

示例: 

dependency-check.sh --disableRetireJS --disableNodeJS --project sougou --scan D:\Sogou\WEB-INF\lib -out D:\Sogou\

输入之后会弹出来一个让你选择的打开软件 git

第一次使用会进行插件下载,稍等一会有点慢,十分钟起步(可能因为网络中断下载失败,我看文章说不会主动更新查询了一下相关的文档有些少)

链接1

链接2

链接2提到了一个更新的命令,使用了之后貌似作用不大,可能是我使用问题,我尝试更换一下文件路径之后会重新下载漏洞库(不确定是不是都会,应该都会吧)更换命令行的两个包含路径

然后开始扫描,扫描出问题的话可能是你扫描的jar中有自己手打的包,记得删除一下,再次运行命令行就可以了,一般都会扫描成功

Java Servlet 代码质量检测工具使用与实践
Java大师兄的博客
04-17 662
本文旨在为Java Web开发人员提供一套完整的Servlet代码质量检测方案。我们将覆盖从基础概念到高级实践的完整知识体系,重点介绍如何在Servlet开发环境中实施有效的代码质量管控。文章首先介绍Servlet技术基础和代码质量概念,然后深入分析主流检测工具,接着通过实战案例展示工具集成,最后讨论应用场景和发展趋势。Servlet:Java编写的服务器端程序,用于处理Web请求和生成响应代码质量:衡量代码可维护性、可靠性、安全性和效率的综合指标静态分析:在不执行代码的情况下分析源代码质量的技术。
dependency check工具使用
bluebiubiu的博客
11-09 1万+
前置条件:先下载dependency check文件包 Dependency-Check工具下载地址https://owasp.org/www-project-dependency-check/,在右侧选择command line,如下图: 方式一:用命令行来运行 windows下的命令 dependency-check.bat --disableRetireJS--disableNodeJS --project test -s D:\checkjar\ -o D:\report\ ...
Dependency-Checkc操作手册V1.0(互联网及内网使用
weixin_44362636的博客
08-26 2175
本手册适用于帮助初学者快速掌握Dependency-Check的安装、配置与使用方法。通过阅读本文档,您将能够了解如何搭建Dependency-Check环境、进行项目依赖库的安全描,并解读生成的报告。此外,本文档还涵盖了常见问题及解决方法,以便您在实际操作中遇到困难时能够及时找到解决方案。
警惕 Python 中少为人知的十个安全陷阱(1)
dzqxwzoe的博客
06-26 736
!!!!!
sbt-dependency-check 使用教程
gitblog_00536的博客
09-10 403
sbt-dependency-check 使用教程 sbt-dependency-checkSBT Plugin for OWASP DependencyCheck. Monitor your dependencies and report if there are any publicly known vulnerabilities (e.g. CVEs). :rainbow:项目地址:htt...
使用OWASP Dependency-Check进行第三方依赖包安全描实践
热门推荐
富贵的博客
10-09 1万+
1、简介 OWASP是开源的、非盈利的全球性安全组织,致力于应用软件的安全研究。OWASP的使命是使应用软件更加安全,使企业和组织能够对应用安全风险作出更清晰的决策。OWASP的研究成果被美、欧、日等多个国家的32个政府与行业组织机构引用成为近百项国际法规、标准、指南和行业行为准则。 Dependency-Check是OWASP(Open Web Application Security Project)的一个实用开源程序,用于识别项目依赖项并检查是否存在任何已知的,公开披露的洞。目前,已支持Java、.
OWASP Dependency-Check 使用教程
gitblog_00882的博客
08-08 1164
OWASP Dependency-Check 使用教程 DependencyCheckOWASP dependency-check is a software composition analysis utility that detects publicly disclosed vulnerabilities in application dependencies.项目地址:https://g...
maven使用Dependency-Check来安全
最新发布
HBLOG
12-19 1499
OWASP Dependency-Check 是一个开源工具,旨在帮助开发人员识别项目中使用的库和组件的已知洞。它通过描项目的依赖项,生成详细的报告,帮助团队及时发现并修复安全问题。该工具支持多种编程语言和构建工具,包括 Java、.NET、Node.js 等。
dependencycheck离线使用
11-01
DependencyCheck是一个流行的开源软件安全工具,它用于识别项目依赖项中的已知洞。如果需要离线使用DependencyCheck,你需要先下载并安装其核心库,然后按照以下步骤操作: 1. **下载离线数据库**:从官方...
OWASP测试工具详解:5个工具提升安全测试效率的技巧
本论文旨在提供OWASP测试工具的全面概述,包括OWASP Zed Attack Proxy (ZAP),OWASP Dependency-Check和OWASP Mobile Security Framework (MobSF)等工具的详细介绍。通过对这些工具的安装、配置和应用的深入分析,...
Java代码审计中的依赖分析:如何管理开源组件的风险
![Java代码审计中的依赖分析:如何管理开源组件的风险]...首先,介绍了依赖分析的基本概念和开源组件依赖管理的理论与实践,包括依赖管理的重要性、风险类型、识别与
dependency-checker:一个简单的CLI脚本,用于检查package.json中的依赖项
03-22
依赖检查器 一个简单的CLI脚本,用于检查package.json依赖项。 安装 git clone git@github.com:KittyGiraudel/dependency-checker 用法 Usage: dependency-checker [options] Options: -p, --package <package> Path to package.json -d, --dev Whether to check devDependencies -p, --peer Whether to check peerDependencies -r, --reporter [reporter] Reporter to use (cli or json) --no-pr
DependencyCheck:OWASP依赖项检查是一种软件组成分析实用程序,它可以检测应用程序依赖项中公开披露的
02-05
依赖检查 依赖项检查是一种软件组成分析(SCA)工具,它试图检测项目依赖项中包含的公开披露的洞。 它通过确定给定依赖项是否存在通用平台枚举(CPE)标识符来完成此操作。 如果找到,它将生成一个报告,链接到相关的CVE条目。 可以在上找到文档和生产二进制发行版的。 另外,可以在上找到有关体系结构和扩展依赖项检查的方法的更多信息。 6.0.0升级通知 如果升级到6.0.0或更高版本,则会发生重大更改。 如果收到指示无法连接数据库的错误,则需要运行purge命令来删除旧数据库: gradle: ./gradlew dependencyCheckPurge maven: mvn org.owa
Spring学习 关于dependency-check示例
09-27
Spring学习 关于dependency-check示例代码,需要自行下载Spring3相关jar包
【依赖冲突无解难题】:打包工具策略与工具配合秘技
通过分析构建工具的依赖解析策略,包括依赖树构成、版本冲突识别、解析算法原理及其局限性,提出了依赖锁定机制以应对不同构建场景。随后,本文转向工具间配合与集成策略,讨论了兼容性评估、版本管理实践和持续集成...
使用DependencyCheck工具检测JAR依赖包的安全
晓郎编程
05-04 2724
Dependency-Check 是一款开源工具,用于检测软件项目中第三方库和组件的安全洞。通过分析项目依赖关系,它与已知洞数据库比对,发现存在洞的依赖项,并提供修复建议,帮助团队及时解决安全风险,提升软件安全性。
DependencyCheck工具使用
cddchina的专栏
05-29 742
1、工具下载地址2、工具使用
Dependency-Check
qq_45370296的博客
09-21 1343
安装Dependency-Check有很多种方式,如构建工具插件、持续集成/持续交付(CI/CD)集成、Docker 集成、IDE 集成、自定义脚本、REST API,我一般会使用Maven构建项目,将Dependency-Check添加为Maven插件。Dependency-Check是一个用于检测应用程序的依赖项(项目中引入的各种库、框架和软件包)中是否存在已知洞的工具。执行完成后,可以在生成的报告中查看依赖项的洞信息。Dependency-Check 插件将会执行洞检查,并生成相应的报告。
依赖包安全工具——Dependency-Check,2024年最新网络安全开发谈
m0_61869253的博客
08-09 1224
!!!!!
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值