盗墓笔记,天蚕土豆

新聞中心

這里有您想知道的互聯(lián)網營銷解決方案

代碼依賴包安全漏洞檢測神器—DependencyCheck

目前各個企業(yè)對于應用的安全越來越重視，而解決應用漏洞的本質是從代碼安全抓起。通常關于代碼的安全問題有兩類：代碼本身的安全問題和代碼依賴包存在的安全問題。對于代碼本身的安全問題，我們可以通過靜態(tài)代碼分析工具解決。

在羅江等地區(qū)，都構建了全面的區(qū)域性戰(zhàn)略布局，加強發(fā)展的系統(tǒng)性、市場前瞻性、產品創(chuàng)新能力，以專注、極致的服務理念，為客戶提供成都網站制作、成都做網站、外貿營銷網站建設網站設計制作按需求定制制作,公司網站建設,企業(yè)網站建設,高端網站設計,成都全網營銷,外貿營銷網站建設,羅江網站建設費用合理。

而對于代碼依賴包的安全問題是我們這篇文章重點解決的事情，業(yè)界通常使用Dependency-Check來檢查代碼中是否存在任何已知的，公開披露的安全漏洞。他檢查依賴項中是否存在漏洞的原理也跟我們熟知的病毒查殺軟件一樣，預先定義好目前已知的安全漏洞庫，檢查依賴包時，發(fā)現(xiàn)這些漏洞就會報錯，最后定期更新安全漏洞庫即可!

工具介紹：

Dependency-Check

Dependency-Check是OWASP(Open WebApplication Security Project)的一個實用開源程序，用于識別項目依賴項并檢查是否存在任何已知的，公開披露的漏洞。目前，已支持Java、.NET、Ruby、Node.js、Python等語言編寫的程序，并為C/C++構建系統(tǒng)(autoconf和cmake)提供了有限的支持。而且該工具還是OWASP Top 10的解決方案的一部分。

NVD

Dependency-Check依賴NVD漏洞數(shù)據(jù)庫(美國國家通用漏洞數(shù)據(jù)庫)進行依賴漏洞檢查(全球信息安全領域著名的漏洞數(shù)據(jù)庫包括中國國家信息安全漏洞庫，美國國家信息安全漏洞庫NVD，賽門鐵克漏洞庫等等)官網：https://nvd.nist.gov/

NVD的更新頻率是出現(xiàn)問題實時更新，具體鏈接：

https://nvd.nist.gov/general/nvd-dashboard

CVSS

NVD評級依賴CVSS(CommonVulnerability Scoring System)，即“通用漏洞評分系統(tǒng)”，是一個“行業(yè)公開標準，其被設計用來評測漏洞的嚴重程度，并幫助確定所需反應的緊急度和重要度，具體評分標準如下：

目前主要參考cvss v3.0，具體級別的漏洞數(shù)目如下圖所示：

使用方法

命令行方式

命令行方式建議測試人員使用，可以在沒有源碼的情況下進行代碼安全檢測。

Dependency-Check工具下載地址

https://owasp.org/www-project-dependency-check/，在右側選擇command line，如下圖：

默認方式

下載解壓后進入bin文件夾，在windows系統(tǒng)下執(zhí)行命令：

dependency-check.bat --disableRetireJS --disableNodeJS --project test -s D:\checkjar\-o D:\report\

其中:

-project代表工程名

–s代表檢查的jar包文件夾，把需要檢查的jar包放到該目錄下即可

–o代表報表輸出的路徑

--disableRetireJS不檢查js，

--disableNodeJS不檢查nodejs

本地NVD庫方式

我們可以在本地搭建一個NVD庫來提高更新效率，

具體可以參考

https://jeremylong.github.io/DependencyCheck/data/mirrornvd.html

使用本地nvd庫，具體命令如下：

dependency-check.bat

--cveUrlModified 本地nvd庫的

url/nvdcve-1.1-modified.json.gz

--cveUrlBase本地nvd庫的

url/nvdcve-1.1-2020.json.gz

--project test -s D:\checkjar\ -oD:\report\

其中–cveUrlModified和–cveUrlModified指定本地NVD庫

注意，如果執(zhí)行命令失敗，重新執(zhí)行一次就OK!

報告分析

生成的報表文件如下圖，一般只需關注HighestSeverity 列中的CRITICAL和HIGH級別漏洞，可以看到檢測出2個jar包存在高危漏洞。

點擊具體jar包，可以看到具體的修復方案，如下所示：

報告中的含義是jackson-xc-1.8.3jar是有安全問題的，這個問題在2.8.10和2.9.1版本之前是存在的，所以我們只要把jar包升級到2.9.1版本以上即可修復這個問題!

配置Maven插件方式

該方式建議開發(fā)人員使用，通過maven方式檢測依賴包中是否存在安全問題則需要修改較多pom中的內容。

https://search.maven.org/artifact/org.owasp/dependency-check-maven/5.3.2/maven-plugin

總結

一般來說對于代碼依賴包的安全問題是由開發(fā)自己測試的，如果我們測試想要介入的話使用命令行方式即可，把需要檢查的jar包放到指定的目錄中，然后對所有jar包進行整體掃描。原創(chuàng)不易，如果文章幫到了你，歡迎轉發(fā)點贊，讓更多的朋友受益!

本文標題：代碼依賴包安全漏洞檢測神器—DependencyCheck
網站網址：http://m.fisionsoft.com.cn/article/dpjsggj.html