使用Dependency-Check扫描POM依赖第三方jar漏洞

原创 已于 2023-04-05 09:03:45 修改 · 777 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#Dependency #Check #CVE #NVD #POM

于 2023-03-31 13:39:22 首次发布
文章介绍了如何使用命令行模式和maven插件对项目进行依赖安全检查。首次运行时,由于需要下载NVD和CVE数据库,所以速度可能会较慢。NVD和CVE提供了关于已知安全漏洞的信息。

资源下载

有命令行模式,maven插件模式等。

命令行模式:

dependency-check.bat -o . -s 待扫描目录

首次执行较慢,因为需要下载NVD\CVE相关库

 

 官网直飞

devops===》dependency-check-maven项目漏洞检查
Elaina_fang✨✨✨的博客
12-24 1715
一、OWASP dependency-check-maven插件 介绍:Dependency-Check是OWASP(Open Web Application Security Project)的一个实用开源程序,用于识别项目依赖项并检查是否存在任何已知的,公开披露的漏洞。目前,已支持Java、.NET、Ruby、Node.js、Python等语言编写的程序,并为C/C++构建系统(autoconf和cmake)提供了有限的支持。而且该工具还是OWASP Top 10的解决方案的一部分。 Dependen
组件扫描 dependency check
weixin_45596492的博客
03-28 959
介绍 Dependency-Check 是一种软件组合分析 (SCA) 工具,它试图检测项目依赖项中含的公开披露的漏洞。它通过确定给定依赖项是否存在通用平台枚举 (CPE) 标识符来做到这一点。如果找到,它将生成链接到相关 CVE 条目的报告。 使用方法 1.官方github下载 ​​​​​​GitHub - jeremylong/DependencyCheck: OWASP dependency-check is a software composition analysis utility t
开源工具系列5:DependencyCheck
wolaisongfendi的博客
03-09 2454
Dependency-Check 是 OWASP(Open Web Application Security Project)的一个实用开源程序,用于识别项目依赖项并检查是否存在任何已知的,公开披露的漏洞
警惕 Python 中少为人知的十个安全陷阱(1)
dzqxwzoe的博客
06-26 836
!!!!!
使用DependencyCheck工具检测JAR依赖的安全漏洞
晓郎编程
05-04 3344
Dependency-Check 是一款开源工具,用于检测软件项目中第三方库和组件的安全漏洞。通过分析项目依赖关系,它与已知漏洞数据库比对,发现存在漏洞依赖项,并提供修复建议,帮助团队及时解决安全风险,提升软件安全性。
精选资源
dependency-check-6.2.2-release.zip
08-10
2. **dependency-check/lib**:这个目录含了所有必需的库文件,括Java的jar文件,这些文件在执行扫描时被加载,用于解析项目依赖、查找漏洞信息并生成报告。 3. **dependency-check/data**:这里存储了依赖检查...
maven-dependency-plugin-2.8.zip
10-21
例如,可以使用`dependency:copy-dependencies`目标来复制项目依赖,或使用`dependency:analyze`来检查未使用依赖。对于Cobertura,可以通过`cobertura:cobertura`目标生成覆盖率报告,并设定`<check>`元素来定义...
dependency check工具的使用
热门推荐
bluebiubiu的博客
11-09 1万+
前置条件:先下载dependency check文件 Dependency-Check工具下载地址https://owasp.org/www-project-dependency-check/,在右侧选择command line,如下图: 方式一:用命令行来运行 windows下的命令 dependency-check.bat --disableRetireJS--disableNodeJS --project test -s D:\checkjar\ -o D:\report\ ...
dependency-check 8.2.1版本发布,专检maven依赖漏洞
对于 Maven 工程,它能够读取 pom.xml 文件中的依赖信息,对其中列出的第三方 jar 进行安全扫描。 6.扫描流程简介:该工具工作时,首先会从其维护的数据库中检索与项目依赖相关的漏洞信息。然后,它会分析项目的...
spring的依赖检查(dependency-check属性)
weixin_30885111的博客
08-09 1145
依赖检查要和自动装配结合使用,没有自动装配也就没有检查的必要了。 <beanid="HelloWorld"class="com.jnotnull.HelloWorld" autowire="autodectect"dependency-check="none"> dependency-check有四个值:none,simple,object,all。默认不检查 ...
扫描jar工具
04-27
java -jar jarscan.jar 查看help信息,可以快速扫描目标文件夹下jar含的class文件相关信息
Dependency-Check
qq_45370296的博客
09-21 1655
安装Dependency-Check有很多种方式,如构建工具插件、持续集成/持续交付(CI/CD)集成、Docker 集成、IDE 集成、自定义脚本、REST API,我一般会使用Maven构建项目,将Dependency-Check添加为Maven插件。Dependency-Check是一个用于检测应用程序的依赖项(项目中引入的各种库、框架和软件)中是否存在已知漏洞的工具。执行完成后,可以在生成的报告中查看依赖项的漏洞信息。Dependency-Check 插件将会执行漏洞检查,并生成相应的报告。
Dependency-check
weixin_42176112的博客
02-15 5864
文章目录前言简介原理 前言 公司客户使用的是该工具扫描,与我们内部使用的工具snyk的测试结果无法对其,为了便于和客户扫描对齐也采用该工具扫描本公司的产品。本文主要记录一下工具原理简介、使用方式、报告解读及与其他工具对比等内容。本文内容来源于网络也服务于网络,起主要目的是把自己使用的一些心得体会记录一下便于自己日后使用,也能够为他人提供一点点有效参考。 简介 Dependency-Check 是OWASP(Open WebApplication Security Project) g的一个实用开源程序,用
依赖安全漏洞扫描工具——Dependency-Check(OWASP)
海边de曼彻斯特的博客
12-22 3466
只介绍命令的方式,maven 插件需要授权不好用暂不做介绍。后期如果有需求再补充。点击下载即可:没梯子的用迅雷一样下载。
如何对jar进行安全扫呢,用dependency-check工具吧
weixin_43554548的博客
09-06 2103
dependency-check
依赖安全漏洞扫描工具——Dependency-Check,2024年最新网络安全开发谈
m0_61869253的博客
08-09 1367
!!!!!
DependencyCheck - 自动检测依赖项中的漏洞
gitblog_00078的博客
03-17 855
DependencyCheck - 自动检测依赖项中的漏洞 【免费下载链接】DependencyCheck OWASP dependency-check is a software composition analysis utility that detects publicly disclosed vulnerabi...
Dependency Check:一款针对应用程序依赖组件的安全检测工具
最新发布
FreeBuf_的博客
09-19 3524
Dependency-Check 是一款软件组合分析 (SCA) 工具,可尝试检测项目依赖项中含的公开披露的漏洞
【Java Web 安全】DependencyCheck扫描POM依赖jar漏洞
qqchaozai的专栏
08-06 3128
前言 DependencyCheck GitHub地址:https://github.com/jeremylong/DependencyCheck 可以参考git上面教程执行,以下通过Windows环境进行演示 1 下载扫描程序 下载地址:https://bintray.com/jeremy-long/owasp/dependency-check 解压: 2 执行扫描 .\bin\dependency-check.bat --out . --scan you-scan-path .
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

wsdhla

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值