dependency-check-maven安全漏洞扫描工具介绍

Posted 太空眼睛

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了dependency-check-maven安全漏洞扫描工具介绍相关的知识,希望对你有一定的参考价值。

目录

dependency-check-maven安全漏洞扫描工具介绍

dependency-check官网下载地址: https://owasp.org/www-project-dependency-check

这个工具支持多种方式,本文主要介绍使用maven插件的使用方式和命令行方式

dependency-check-maven插件

mavenpom.xml的插件配置中添加如下配置内容:

<plugin>
    <groupId>org.owasp</groupId>
    <artifactId>dependency-check-maven</artifactId>
    <version>$dependency-check-maven.version</version>
    <configuration>
        <autoUpdate>false</autoUpdate>
        <dataDirectory>D:\\ProgramFiles\\dependency-check\\data</dataDirectory>
        <versionCheckEnabled>false</versionCheckEnabled>
        <retireJsForceUpdate>false</retireJsForceUpdate>
        <ossindexAnalyzerUseCache>true</ossindexAnalyzerUseCache>
        <skipRuntimeScope>true</skipRuntimeScope>
        <skipProvidedScope>true</skipProvidedScope>
        <skipSystemScope>true</skipSystemScope>
        <skipTestScope>true</skipTestScope>
    </configuration>
    <executions>
        <execution>
            <goals>
                <goal>check</goal>
            </goals>
        </execution>
    </executions>
</plugin>

以上配置了插件常用的一些参数,如果需要查看更多参数,可以使用如下命令查看:
mvn help:describe -Dcmd=dependency-check:check -Ddetail

重点参数解析

autoUpdate

  • 如果为true,每次执行漏洞检查时都会下载CVE漏洞数据
  • 如果为false,不会在线更新漏洞数据,相当于离线扫描

dataDirectory
这是存放CVE漏洞数据的目录,如果autoUpdate为true,也会在这个目录下更新

运行命令

检查单个maven工程安全漏洞

mvn dependency-check:check
会在target目录下生成一个dependency-check-report.html

检查多个maven子工程汇总一个报告

mvn dependency-check:aggregate
会在父工程的target目录下生成一个dependency-check-report.html

命令行方式运行

dependency-check.bat --cveUrlModified "file:///D:/ProgramFiles/dependency-check/data/nvdcache/nvdcve-1.1-modified.json.gz" --cveUrlBase "file:///D:/ProgramFiles/dependency-check/data/nvdcache/nvdcve-1.1-modified.json.gz" --disableRetireJS --disableNodeJS --project "demo-project" -s "G:/workspaces/projects/demo-project/target/unification-api/WEB-INF/lib" -o "G:/workspaces/projects/demo-project/target"

扫描报告示例

漏洞库网站

豆瓣copy的


漏洞库网站


中国国家漏洞库:http://www.cnvd.org.cn
美国国家漏洞库:http://web.nvd.nist.gov
美国国家信息安全应急小组:http://secunia.com
国际权威漏洞机构Secunia:http://secunia.com
国际权威漏洞库SecurityFocus:http://www.securityfocus.com
IBM网络安全漏洞库Xforce:http://xforce.iss.net
国际权威漏洞库OSVDB:http://osvdb.org  //已经关闭
俄罗斯知名安全实验室SecurityLab.ru:http://en.securitylab.ru
国内安全厂商绿盟科技:http://www.nsfocus.net
国内权威漏洞库:http://sebug.net

中国国家信息安全漏洞库 www.cnnvd.org.cn

以上是关于dependency-check-maven安全漏洞扫描工具介绍的主要内容,如果未能解决你的问题,请参考以下文章

devops===》dependency-check-maven项目漏洞检查

中国国家安全漏洞库

云原生|kubernetes|安全漏扫神器trivy的部署和使用

漏洞库网站

#yyds干货盘点#web安全day46:使用Openvas+MSF理解漏扫方法利用及补丁修复

交换器漏扫描怎么办