依赖包安全漏洞扫描工具——Dependency-Check(OWASP)

前言

Dependency-Check是OWASP(Open WebApplication Security Project)的一个实用开源程序,用于识别项目依赖项并检查是否存在任何已知的,公开披露的漏洞。我们可以使用这个应用来进行相关依赖包的扫描。常见的使用方式有两种,应用扫描插件扫描

方式一:应用扫描

在没有源代码的情况下,我们可以去OWASP官网上面下载扫描工具

1、应用下载

官网地址如下:https://owasp.org/www-project-dependency-check/ ,在官网右边侧栏点击Command Line下载应用到本地即可

image.png

2、执行命令

将下载到本地的文件解压后,进入其中的bin目录,在windows系统下执行命令:

dependency-check.bat --disableRetireJS --disableNodeJS --project test -s D:\checkjar\ -o D:\report\

其中:

-project代表工程名

–s 代表检查的jar包文件夹,把需要检查的jar包放到该目录下即可

–o 代表报表输出的路径

--disableRetireJS 不检查js

--disableNodeJS 不检查nodejs

(这一步出现问题的话,可以看一下文档底部的注意事项!!!)

3、查看输出文件

等待步骤2执行完成后,我们可以在指定的报表输出路径上,看到生成的html文件

方式二:插件扫描

插件扫描使用于具有源代码的开发人员使用,使用步骤如下:

1、在要扫描模块的pom文件中引入插件

        
            org.owasp
            dependency-check-maven
            5.3.0
            
                
                    
                        aggregate
                    
                
            
    

2、在IDEA中运行该插件

在IDEA主界面的右边侧边栏上找到Maven模块,找到要扫描的项目模块,在Plugins目录下双击Depedancy-check即可成功运作。

image.png

相关的结果报告将会输出在该模块的target目录下

注意事项:

1、如果步骤2执行过程中,出现SSLHandshakeException错误的话,可能是由于本地缺少证书导致的,可以参考下面这篇文章去下载对应的证书后,再重新执行步骤2
https://www.cnblogs.com/zoro-zero/p/11607674.html

参考文章:
代码依赖包安全漏洞检测神器:https://blog.csdn.net/liwenxiang629/article/details/109453335

你可能感兴趣的:(依赖包安全漏洞扫描工具——Dependency-Check(OWASP))