一、简介
Dependency-Check 是 OWASP(Open Web Application Security Project)的一个实用开源程序,用于识别项目依赖项并检查是否存在任何已知的,公开披露的漏洞。目前,已支持Java、.NET、Ruby、Node.js、Python等语言编写的程序,并为C/C++构建系统(autoconf和cmake)提供了有限的支持。而且该工具还是OWASP Top 10的解决方案的一部分。
Dependency-Check 支持面广(支持多种语言)、可集成性强,作为一款开源工具,在多年来的发展中已经支持和许多主流的软件进行集成,比如:命令行、Ant、Maven、Gradle、Jenkins、Sonar等;具备使用方便,落地简单等优势。
二、使用方式介绍
2.1 命令行式
./dependency-check.sh --disableRetireJS --disableNodeJS --project 工程名称 -s 扫描的jar包路径/. -o 输出的html报告路径/HZFB.html
# --project代表工程名
# --disableRetireJS代表不检查js
# --disableNodeJS代表不检查nodejs
# -s代表要检查的jar包文件夹,把jar包都放在该文件夹下即可
# -o 代表输出的路径
第一次使用会比较慢,它需要下载漏洞库到本地备份库。如下图:
下载完成后就会开始扫描jar包,匹配漏洞库中的漏洞,然后生成html报告。
2.2 与Jenkins集成
标签:--,jar,扫描,支持,漏洞,html,DependencyCheck From: https://www.cnblogs.com/startingpoint-fly/p/18220122