依赖包安全漏洞扫描工具——Dependency-Check（OWASP）

前言

Dependency-Check是OWASP（Open WebApplication Security Project）的一个实用开源程序，用于识别项目依赖项并检查是否存在任何已知的，公开披露的漏洞。我们可以使用这个应用来进行相关依赖包的扫描。常见的使用方式有两种，应用扫描和插件扫描

方式一：应用扫描

在没有源代码的情况下，我们可以去OWASP官网上面下载扫描工具

1、应用下载

官网地址如下：https://owasp.org/www-project-dependency-check/ ，在官网右边侧栏点击Command Line下载应用到本地即可

image.png

2、执行命令

将下载到本地的文件解压后，进入其中的bin目录，在windows系统下执行命令：

dependency-check.bat --disableRetireJS --disableNodeJS --project test -s D:\checkjar\ -o D:\report\

其中:

-project代表工程名

–s 代表检查的jar包文件夹，把需要检查的jar包放到该目录下即可

–o 代表报表输出的路径

--disableRetireJS 不检查js，

--disableNodeJS 不检查nodejs

（这一步出现问题的话，可以看一下文档底部的注意事项！！！）

3、查看输出文件

等待步骤2执行完成后，我们可以在指定的报表输出路径上，看到生成的html文件

方式二：插件扫描

插件扫描使用于具有源代码的开发人员使用，使用步骤如下：

1、在要扫描模块的pom文件中引入插件

        
            org.owasp
            dependency-check-maven
            5.3.0
            
                
                    
                        aggregate
                    
                
            
    

2、在IDEA中运行该插件

在IDEA主界面的右边侧边栏上找到Maven模块，找到要扫描的项目模块，在Plugins目录下双击Depedancy-check即可成功运作。

image.png

相关的结果报告将会输出在该模块的target目录下

注意事项：

1、如果步骤2执行过程中，出现SSLHandshakeException错误的话，可能是由于本地缺少证书导致的，可以参考下面这篇文章去下载对应的证书后，再重新执行步骤2
https://www.cnblogs.com/zoro-zero/p/11607674.html

参考文章：
代码依赖包安全漏洞检测神器：https://blog.csdn.net/liwenxiang629/article/details/109453335