.jpg)
Dependency-Check — это
инструмент анализа состава программного обеспечения (SCA) с открытым исходным
кодом, позволяющий выявлять публично раскрытые уязвимости в зависимостях
проекта.
Инструмент анализирует зависимости для идентификаторов Common Platform Enumeration (CPE). При обнаружении совпадения инструмент генерирует отчет со ссылками на соответствующие записи Common Vulnerabilities and Exposures (CVE), помогая командам устранять риски безопасности.
Зависимость-Проверка основных компонентов
Инструмент состоит из четырех
основных компонентов:
- Двигатель: центральный контроллер,
который организует выполнение всех остальных компонентов в правильной
последовательности.
- Сканер: Проходит по файлам и
каталогам, указанным в -scanпараметре командной строки, идентифицируя файлы,
которые могут быть обработаны доступным Анализатором. Эти файлы служат
основой для создания объектов Зависимости.
- Анализатор: Основной компонент
приложения, отвечающий за обработку зависимостей. Он обогащает объекты
зависимости, добавляя соответствующую информацию, такую как
доказательства, идентификаторы или уязвимости (подробно описано ниже).
- Генератор
отчетов: компилирует
и создает отчеты по выявленным зависимостям на основе результатов
анализатора, используя шаблоны Velocity для структурирования выходных
данных.
База данных уязвимостей
Инструмент
автоматически обновляет свою базу данных уязвимостей с помощью NVD Data Feeds
от NIST. Первоначальная загрузка данных может занять пять минут или больше, но
для последующих обновлений требуется только небольшой XML-файл, при условии,
что инструмент запускается не реже одного раза в семь дней, чтобы поддерживать
актуальность данных. Этот продукт использует API NVD, но не одобрен и не
сертифицирован NVD.
Dependency-Check
доступен бесплатно на GitHub .
Комментариев нет:
Отправить комментарий