• DependencyCheck踩坑记录


    DependencyCheck 是owasp开源的一个SCA工具,之前在群里交流,有几家也在尝试落地实践了。

    刚好Q3de时候在做代码审计系统的,Q4增加了SCA的检测功能,简单的调研了几个工具,如下:

    Dependency Check ,OWASP开源,主要是检测java也支持检测其他的语言。

    支持命令行方式,直接对jar包进行资产清点

    支持maven的方式,直接使用mvn org.owasp:dependency-check-maven:check即可。

    检测原理:将Dcheck,读取jar或maven包内的数据,将包内的数据转换为CPE格式,

    例如:

     而CPE格式是NVD漏洞库提供的cpe32格式:

    可以参考,后门会专门单独写这块:https://stackoverflow.com/questions/56680580/nvd-json-feeds-tags-meaning-and-their-purpose

    例如在fastjson NVD这样定义CPE:

    私有化部署,需要镜像NVD漏洞库,track同理

    初次启动或间隔几个小时没有使用将会更新,官网有几个参数,可以仔细留意一下。

    mvn org.owasp:dependency-check-maven:check -Dformats=CSV -DcveUrlModified=http://127.0.0.1:8000/nvdcve-1.1-modified.json.gz -DcveUrlBase=http://127.0.0.1:8000/nvdcve-1.1-%d.json.gz -Danalyzer.retirejs.repo.js.url=http://127.0.0.1:8000/jsrepository.json -Dinherited=false

     

     

    支持生成HTML默认,CSV,JSON等格式,私有化需要指定参数,如项目中存在多个子任务,可能生成报表时出现问题,inherited=false启用聚合。

    Dependency track,OWASP开源,支持的语言比较丰富。

    检测原理:使用插件对代码项目生成bom.xml,类似pip request requirements,清点出使用的组件,Dependency track相当于一个漏洞库和分析引擎

    这个方法好处就是只需要在客户端直接生成bom.xml,PUT track的REST接口即可。在测试过程中测试fastjson没清点出来。

    snyk是商业化的,某公司在最开始Dependency Check切换到这个,漏洞库比较丰富。

  • 相关阅读:
    递归练习:走台阶
    递归练习:计算最大公约数和最小公倍数
    递归练习:逆序输出一个十进制数的各位数字
    m4, autoconf
    Makefile 和 CMakeLists.txt
    Java中的String pool
    小米路由Mini刷Breed, 潘多拉和LEDE
    Centos 编译LEDE/OpenWrt
    Centos6下编译安装gcc6.4.0
    IntelliJ IDEA遇到Unable to parse template “Class”错误
  • 原文地址:https://www.cnblogs.com/sevck/p/13969900.html
Copyright © 2020-2023  润新知