首页 > 其他分享 >DependencyCheck开源的软件组件漏洞检测工具

DependencyCheck开源的软件组件漏洞检测工具

时间:2024-03-11 14:35:26浏览次数:36  
标签:dependency jar 漏洞 开源 check DependencyCheck 检测工具

DependencyCheck是一个开源的软件组件漏洞检测工具,用于帮助开发人员和安全团队发现项目中使用的第三方库中的已知漏洞。它扫描应用程序的依赖关系,包括第三方库、框架和其他组件,然后与漏洞数据库进行比较,以识别是否存在已公开披露的安全漏洞。

1.主要特点包括:

1. **自动化扫描:** DependencyCheck可以自动扫描项目中使用的第三方库,无需手动进行配置。

2. **多种格式支持:** 它支持多种输出格式,包括HTML、XML、CSV、JSON、JUNIT、SARIF、JENKINS、GITLAB等,方便集成到不同的开发和CI/CD工具中。

3. **CVSS评分支持:** 对于识别到的漏洞,DependencyCheck会提供CVSS评分,帮助用户了解漏洞的严重程度。

4. **持续更新:** 漏洞数据库会定期更新,以确保检测到的漏洞信息是最新的。

5. **易于使用:** DependencyCheck提供了命令行界面和插件,使其易于集成到现有的开发和部署流程中。

通过使用DependencyCheck,开发团队可以及早发现并解决项目中存在的安全漏洞,提高应用程序的安全性和稳定性。

2.github地址:https://github.com/jeremylong/DependencyCheck

3.下载地址:https://github.com/jeremylong/DependencyCheck/releases 例如选择dependency-check-9.0.9-release.zip进行下载。

 

4.解压dependency-check-9.0.9-release.zip。

5.在bin文件中运行如下命令:dependency-check.bat -h  可以看到一些支持的命令。

6.在bin文件中运行如下命令:dependency-check.bat --out . --scan "E:\jar\jecie-admin.jar"   支持jar包和war包 ,第一次使用好像要下载数据包,会很慢耐心等待(如果没有nvdApiKey),大概15分钟,可以在cmd窗口看到进度。

7.运行结束后可以看到在bin文件下多了一个文件,当然这个报告生成的路径可以通过--out参数指定。

 

 8.在报告中发现了 20 个存在漏洞的依赖项,总共发现了 68 个漏洞。

 9.通过报告,需要到maven市场找没有漏洞的jar,maven市场地址:https://mvnrepository.com/

 

标签:dependency,jar,漏洞,开源,check,DependencyCheck,检测工具
From: https://www.cnblogs.com/itdaocaoren/p/18066009

相关文章

  • 开源无代码 / 低代码平台 NocoBase 0.20:支持多数据源
    NocoBase是一个极易扩展的开源无代码开发平台。完全掌控,无限扩展,助力你的开发团队快速响应变化,显著降低成本,不必投入几年时间和数百万资金研发,只需要花几分钟部署NocoBase。NocoBase中文官网官方文档新特性支持多数据源新增「数据源管理」插件,用于管理所有数据源的数据表......
  • 毕业半年多了,回顾从大学到现在搞过的很有意思的开源项目
    毕业半年多了,回顾从大学到现在搞过的很有意思的开源项目回想当年,在高考结束后我的分数并不高,然后被调剂到了工业设计,再到后来感觉对计算机更感兴趣,于是对了很久的线努力转专业到了计算机,之后废了九牛二虎之力在大二一年修完了计算机专业大一大二两年的课程,到了大三开始搞事就开始......
  • 视野修炼-技术周刊第76期 | Rolldown 开源
    欢迎来到第76期的【视野修炼-技术周刊】,下面是本期的精选内容简介......
  • .NET开源的两款第三方登录整合库
    前言我相信做开发的同学应该都对接过各种各样的第三方平台的登录授权,来获取用户信息(如:微信登录、支付宝登录、QQ登录、GitHub登录等等)。今天大姚分享两款.NET开源的第三方登录整合库。MrHuo.OAuthMrHuo.OAuth是.NET项目集成OAuth2登录最全面的、最方便的框架,集成了国内外大部分......
  • Nomic Embed:能够复现的SOTA开源嵌入模型
    Nomic-embed-text是2月份刚发布的,并且是一个完全开源的英文文本嵌入模型,上下文长度为8192。它在处理短文和长文本任务方面都超越了现有的模型,如OpenAI的Ada-002和text-embedding-3-small。该模型有137M个参数在现在可以算是非常小的模型了。模型、训练代码以及一个包含2.35亿文本......
  • Git 开源的版本控制系统-05-tags 标签管理
    标签创建标签gittag<标签名>[提交ID]显示标签gittag显示标签详细信息gitshow<标签名>houbinbindeMacBook-Pro:git-demohoubinbin$gitbranchgit_demo_1.1git_demo_1.2git_demo_bug_001*masterhoubinbindeMacBook-Pro:git-demohoubinbin$gitta......
  • 通达信分时爆量分时主图开源
    {通达信分时爆量分时主图开源}分时爆量---分时主图开源不加密,里面有两个指标,导入公式即可,其中一个是引用指标,另一个指标分时爆量是分时主图指标,里面有两个信号,一个开盘信号,一个随盘中走势出信号,大家最好有自己的股票池,根据分时爆量信号,捕捉强势股源码Z111:=STRCAT(HYBLOCK......
  • SwitchHosts 一个修改、管理、切换多个 hosts的开源工具
    本文为joshua317原创文章,转载请注明:转载自joshua317博客 https://www.joshua317.com/article/316Hosts相关的小工具着实不少,大家需求最多的肯定是hosts切换工具了。SwitchHosts!是一款可以方便你管理和一键切换多个hosts方案的免费开源工具,跨平台支持Windows、macOS和......
  • 了解开源可视化表单的主要优势
    为什么可视化表单深受大家喜爱?这就需要了解开源可视化表单的优势和特点了。在流程化办公深入人心的今天,提高办公协作效率早已成为大家的发展目标,低代码技术平台、开源可视化表单是提升办公协作效率的得力助手,一起来看看它的优势和特点吧。在办公化发展成熟的今天,传统的表单制作工......
  • StarCoder 2:GitHub Copilot本地开源LLM替代方案
    GitHubCoPilot拥有超过130万付费用户,部署在5万多个组织中,是世界上部署最广泛的人工智能开发工具。使用LLM进行编程辅助工作不仅提高了生产力,而且正在永久性地改变数字原住民开发软件的方式,我也是它的付费用户之一。低代码/无代码平台将使应用程序创建、工作流自动化和数据分析更......