1、Dependency-Check可以检查项目依赖包存在的已知、公开披露的漏洞。目前良好的支持Java和.NET;Ruby、Node.js、Python处于实验阶段;仅支持通过(autoconf and cmake)编译的C/C++。主要提供针对owasp2017 top10的 A9 - Using Components with Known Vulnerabilities.问题的解决方案
2、Dependency-Check有命令行接口、Maven插件、Jenkins插件等。核心功能是通过包含的一系列分析器,来探测项目的依赖,收集依赖的各类信息,通过这些信息来确认其CPE,一旦CPE确认,就可以罗列出CVE(Comman Vulnerability and Exposure)
3、插件的所有公开漏洞信息都存储在一个巨大的列表或者数据库里,你可以把它下载到本地,以方便快速查询;记得定期更新这个列表或者数据库
参考:
1、https://www.owasp.org/index.php/OWASP_Dependency_Check
2、https://jeremylong.github.io/DependencyCheck/index.html#
3、https://nvd.nist.gov/products/cpe/search/results?keyword=usg&status=FINAL&orderBy=CPEURI&namingFormat=2.2
4、https://wiki.jenkins.io/display/JENKINS/OWASP+Dependency-Check+Plugin
5、https://github.com/jeremylong/DependencyCheck