DependencyCheck 是owasp开源的一个SCA工具,之前在群里交流,有几家也在尝试落地实践了。
刚好Q3de时候在做代码审计系统的,Q4增加了SCA的检测功能,简单的调研了几个工具,如下:
Dependency Check ,OWASP开源,主要是检测java也支持检测其他的语言。
支持命令行方式,直接对jar包进行资产清点
支持maven的方式,直接使用mvn org.owasp:dependency-check-maven:check即可。
私有化部署,需要镜像NVD漏洞库,track同理
初次启动或间隔几个小时没有使用将会更新,官网有几个参数,可以仔细留意一下。
mvn org.owasp:dependency-check-maven:check -Dformats=CSV -DcveUrlModified=http://127.0.0.1:8000/nvdcve-1.1-modified.json.gz -DcveUrlBase=http://127.0.0.1:8000/nvdcve-1.1-%d.json.gz -Danalyzer.retirejs.repo.js.url=http://127.0.0.1:8000/jsrepository.json -Dinherited=false
支持生成HTML默认,CSV,JSON等格式,私有化需要指定参数,如项目中存在多个子任务,可能生成报表时出现问题,inherited=false启用聚合。
Dependency track,OWASP开源,支持的语言比较丰富。
检测原理:使用插件对代码项目生成bom.xml,类似pip request requirements,清点出使用的组件,Dependency track相当于一个漏洞库和分析引擎
这个方法好处就是只需要在客户端直接生成bom.xml,PUT track的REST接口即可。在测试过程中不不知道为什么,漏洞库存在,但是漏洞没清点出来。
snyk是商业化的,某公司在最开始Dependency Check切换到这个,漏洞库比较丰富。