OWASP Dependency-Check
Qu'est-ce que OWASP Dependency-Check ?
OWASP Dependency-CheckOutil open source de SCA de l'OWASP qui analyse les dependances d'un projet et remonte les vulnerabilites connues en croisant les identifiants CPE avec les donnees CVE.
OWASP Dependency-Check est un outil gratuit de Software Composition Analysis (SCA) qui identifie les vulnerabilites publiques dans les dependances tierces d'un projet. Il couvre Java, .NET, Node.js, Python, Ruby, PHP et d'autres ecosystemes en extrayant des preuves depuis les fichiers et en les associant a des identifiants Common Platform Enumeration (CPE), puis en interrogeant la NVD, GitHub Advisories et d'autres flux. Il s'execute en CLI, via Maven, Gradle, Jenkins, GitHub Actions ou une image Docker, et produit des rapports HTML, JSON, JUnit et SARIF pour les pipelines CI/CD. Les equipes l'utilisent en complement du SAST et du DAST pour assurer une hygiene SBOM minimale et documenter la diligence raisonnable de la chaine d'approvisionnement.
● Exemples
- 01
Faire echouer un build Jenkins lorsque Dependency-Check signale une vulnerabilite CVSS 9.0+ dans une dependance Maven.
- 02
Exporter les resultats SARIF vers l'onglet Security de GitHub pour un triage centralise.
● Questions fréquentes
Qu'est-ce que OWASP Dependency-Check ?
Outil open source de SCA de l'OWASP qui analyse les dependances d'un projet et remonte les vulnerabilites connues en croisant les identifiants CPE avec les donnees CVE. Cette notion relève de la catégorie Conformité et référentiels en cybersécurité.
Que signifie OWASP Dependency-Check ?
Outil open source de SCA de l'OWASP qui analyse les dependances d'un projet et remonte les vulnerabilites connues en croisant les identifiants CPE avec les donnees CVE.
Comment fonctionne OWASP Dependency-Check ?
OWASP Dependency-Check est un outil gratuit de Software Composition Analysis (SCA) qui identifie les vulnerabilites publiques dans les dependances tierces d'un projet. Il couvre Java, .NET, Node.js, Python, Ruby, PHP et d'autres ecosystemes en extrayant des preuves depuis les fichiers et en les associant a des identifiants Common Platform Enumeration (CPE), puis en interrogeant la NVD, GitHub Advisories et d'autres flux. Il s'execute en CLI, via Maven, Gradle, Jenkins, GitHub Actions ou une image Docker, et produit des rapports HTML, JSON, JUnit et SARIF pour les pipelines CI/CD. Les equipes l'utilisent en complement du SAST et du DAST pour assurer une hygiene SBOM minimale et documenter la diligence raisonnable de la chaine d'approvisionnement.
Comment se défendre contre OWASP Dependency-Check ?
Les défenses contre OWASP Dependency-Check combinent habituellement des contrôles techniques et des pratiques opérationnelles, comme détaillé dans la définition ci-dessus.
Quels sont les autres noms de OWASP Dependency-Check ?
Noms alternatifs courants : Dependency-Check.
● Termes liés
- compliance№ 783
OWASP ZAP
Zed Attack Proxy, outil open source de tests de securite des applications web, issu d'OWASP et desormais maintenu par Checkmarx et la communaute ZAP.
- compliance№ 775
OWASP ASVS
Application Security Verification Standard de l'OWASP, catalogue d'exigences de securite testables pour concevoir, construire et verifier des applications web et APIs.
- vulnerabilities№ 259
CVE (Common Vulnerabilities and Exposures)
Catalogue public attribuant un identifiant unique à chaque vulnérabilité divulguée afin de la référencer sans ambiguïté dans toute l'industrie.