前言
Dependency-Check是OWASP(Open WebApplication Security Project)的一个实用开源程序,用于识别项目依赖项并检查是否存在任何已知的,公开披露的漏洞。我们可以使用这个应用来进行相关依赖包的扫描。常见的使用方式有两种,应用扫描和插件扫描
方式一:应用扫描
在没有源代码的情况下,我们可以去OWASP官网上面下载扫描工具
1、应用下载
官网地址如下:https://owasp.org/www-project-dependency-check/ ,在官网右边侧栏点击Command Line下载应用到本地即可
image.png
2、执行命令
将下载到本地的文件解压后,进入其中的bin目录,在windows系统下执行命令:
dependency-check.bat --disableRetireJS --disableNodeJS --project test -s D:\checkjar\ -o D:\report\
其中:
-project代表工程名
–s 代表检查的jar包文件夹,把需要检查的jar包放到该目录下即可
–o 代表报表输出的路径
--disableRetireJS 不检查js,
--disableNodeJS 不检查nodejs
(这一步出现问题的话,可以看一下文档底部的注意事项!!!)
3、查看输出文件
等待步骤2执行完成后,我们可以在指定的报表输出路径上,看到生成的html文件
方式二:插件扫描
插件扫描使用于具有源代码的开发人员使用,使用步骤如下:
1、在要扫描模块的pom文件中引入插件
<plugins>
<plugin>
<groupId>org.owasp</groupId>
<artifactId>dependency-check-maven</artifactId>
<version>5.3.0</version>
<executions>
<execution>
<goals>
<goal>aggregate</goal>
</goals>
</execution>
</executions>
</plugin>
</plugins>
2、在IDEA中运行该插件
在IDEA主界面的右边侧边栏上找到Maven模块,找到要扫描的项目模块,在Plugins目录下双击Depedancy-check即可成功运作。
image.png
相关的结果报告将会输出在该模块的target目录下
注意事项:
1、如果步骤2执行过程中,出现SSLHandshakeException错误的话,可能是由于本地缺少证书导致的,可以参考下面这篇文章去下载对应的证书后,再重新执行步骤2
https://www.cnblogs.com/zoro-zero/p/11607674.html
参考文章:
代码依赖包安全漏洞检测神器:https://blog.csdn.net/liwenxiang629/article/details/109453335
网友评论