dependency-check是一款OWASP官方出品的一款产品。主要功能是对jar依赖包进行漏洞扫描。他的简单工作原理是依靠强大的漏洞库,与被扫jar依赖包进行比对,输出jar包漏洞详情。所以该工具只能扫描出已经公布的漏洞,无法扫描0day漏洞但对于开发过程中使用的第三方依赖包规范很有作用。详细介绍见官网:OWASP Dependency-Check | OWASP Foundation
1、使用DC的命令行模式进行扫描
执行命令bash dependency-check.sh --project 项目名称-s lib库的路径 -o 报告保存路径,开始进行lib库的扫描
[root@nn1 bin]# ls
dependency-check.bat dependency-check.sh
### 执行命令bash dependency-check.sh --project 项目名称 -s lib库的路径 -o 报告保存路径,开始进行lib库的扫描
--project跟的是你自定义的项目名,-s跟的是要扫描的jar依赖包路径,-o是导出报告的路径,程序不会自动更新漏洞库时加上 -cveValidForHours 0 参数
bash dependency-check.sh --project test -s /opt/SonarQube/BOOT-INF/lib -o /opt/SonarQube/report/
看到Analysis Complete说明扫描结束了;扫描完成的报告保存在目录下一般名称为.html的扫描报告。
2、扫描过程中出现错误及解决办法
解决办法:手动下载jsrepository.json文件到根目录data文件下;替换后重新执行命令即可。
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
