Dependency Check：一款针对应用程序依赖组件的安全检测工具

文章预览

关于Dependency Check Dependency-Check 是一款软件组合分析 (SCA) 工具，可尝试检测项目依赖项中包含的公开披露的漏洞。它通过确定给定依赖项是否存在通用平台枚举 (CPE) 标识符来实现此目的。如果找到，它将生成一份链接到相关 CVE 条目的报告。 Dependency-check 有一个命令行界面、一个 Maven 插件、一个 Ant 任务和一个 Jenkins 插件。核心引擎包含一系列分析器，用于检查项目依赖项、收集有关依赖项的信息（在工具中称为证据）。然后使用证据来识别给定依赖项的通用平台枚举 (CPE) 。如果识别出 CPE，则会在报告中列出相关的通用漏洞和暴露 (CVE)条目列表。其他第三方服务和数据源（如 NPM Audit API、OSS Index、RetireJS 和 Bundler Audit）用于特定技术。 Dependency-check 使用 NIST 托管的NVD 数据源自动更新自身。'''重要提示：''' 初始下载数据可能需要十分钟或更长时间。 ………………………………