OWASP Dependency-Check
OWASP Dependency-Check 是什么?
OWASP Dependency-CheckOWASP 提供的开源软件成分分析工具,通过 CPE 与 CVE 数据匹配项目依赖,报告已知漏洞。
OWASP Dependency-Check 是一款免费的软件成分分析(SCA)工具,用于识别项目第三方依赖中的已公开漏洞。它支持 Java、.NET、Node.js、Python、Ruby、PHP 等生态,从文件中提取证据并映射到 Common Platform Enumeration(CPE)标识符,然后与 NVD、GitHub Advisories 等数据源对照查询。工具可作为 CLI 使用,也提供 Maven、Gradle、Jenkins、GitHub Action 和 Docker 镜像,输出 HTML、JSON、JUnit、SARIF 报告供 CI/CD 使用。团队通常将其与 SAST、DAST 结合,以保持基本的 SBOM 卫生并为供应链风险管理提供尽职调查证据。
● 示例
- 01
当 Dependency-Check 在 Maven 依赖中发现 CVSS 9.0+ 漏洞时,使 Jenkins 构建失败。
- 02
将 Dependency-Check 的 SARIF 结果导出到 GitHub Security 选项卡进行集中分流。
● 常见问题
OWASP Dependency-Check 是什么?
OWASP 提供的开源软件成分分析工具,通过 CPE 与 CVE 数据匹配项目依赖,报告已知漏洞。 它属于网络安全的 合规与框架 分类。
OWASP Dependency-Check 是什么意思?
OWASP 提供的开源软件成分分析工具,通过 CPE 与 CVE 数据匹配项目依赖,报告已知漏洞。
OWASP Dependency-Check 是如何工作的?
OWASP Dependency-Check 是一款免费的软件成分分析(SCA)工具,用于识别项目第三方依赖中的已公开漏洞。它支持 Java、.NET、Node.js、Python、Ruby、PHP 等生态,从文件中提取证据并映射到 Common Platform Enumeration(CPE)标识符,然后与 NVD、GitHub Advisories 等数据源对照查询。工具可作为 CLI 使用,也提供 Maven、Gradle、Jenkins、GitHub Action 和 Docker 镜像,输出 HTML、JSON、JUnit、SARIF 报告供 CI/CD 使用。团队通常将其与 SAST、DAST 结合,以保持基本的 SBOM 卫生并为供应链风险管理提供尽职调查证据。
如何防御 OWASP Dependency-Check?
针对 OWASP Dependency-Check 的防御通常结合技术控制与运营实践,详见上方完整定义。
OWASP Dependency-Check 还有哪些其他名称?
常见的别称包括: Dependency-Check。