OWASP Dependency-Check进行第三方依赖包安全扫描实践（owasptop10漏洞描述及解决方案）

OWASP Dependency-Check进行第三方依赖包安全扫描实践（owasptop10漏洞描述及解决方案）

dependency-check是一款OWASP官方出品的一款产品。主要功能是对jar依赖包进行扫描。他的简单工作原理是依靠强大的库，与被扫jar依赖包进行比对，输出jar包详情。所以该工具只能扫描出已经公布的，无法扫描0day。详细介绍见官网：​​Check的命令行模式扫描

1.1下载dependency-check

​​链接​​

1.2 对jar包进行解压，如下图所示：

相关jar包命令：

1.解压命令jar -xvf xx.jar2、删除目录下所有的jar文件del /F *.jar3、合并所有.class文件至jarjar -cvfM xx.jar .jar -xvf sonar-dependency-check-plugin-2.0.7.jarcd dependency-check/bin

1.3 执行命令bash dependency-check.sh --project 项目名称 -s lib库的路径 -o 报告保存路径，开始进行lib库的扫描

[root@nn1 bin]# lsdependency-check.bat dependency-check.sh### 执行命令bash dependency-check.sh --project 项目名称 -s lib库的路径 -o 报告保存路径，开始进行lib库的扫描--project跟的是你自定义的项目名，-s跟的是要扫描的jar依赖包路径，-o是导出报告的路径，程序不会自动更新库时加上 -cveValidForHours 0 参数bash dependency-check.sh --project test -s /opt/SonarQube/BOOT-INF/lib -o /opt/SonarQube/report/

看到Analysis Complete说明扫描结束了

1.4 在报告的保存目录下，可以看到名称为dependency-check-report.html的扫描报告

[root@nn1 report]# lsdependency-check-report.html把dependency-check-report.html传到windows然后打开即可

查看报告如下图所示，

版权声明：本文内容由网络用户投稿，版权归原作者所有，本站不拥有其著作权，亦不承担相应法律责任。如果您发现本站中有涉嫌抄袭或描述失实的内容，请联系我们jiasou666@gmail.com 处理，核实后本网站将在24小时内删除侵权内容。