OWASP-Dependency-Check

1. 工具简介

2 Dependency-Check是OWASP（Open Web Application Security Project）的一个实用开源程序，用于识别项目依赖项并检查是否存在任何已知的，公开披露的漏洞。目前，已支持Java、.NET、Ruby、Node.js、Python等语言编写的程序，并为C/C++构建系统（autoconf和cmake）提供了有限的支持。而且该工具还是OWASP Top 10的解决方案的一部分(A9-Using Components with Known Vulnerabilities)。

2 Dependency-Check支持面广（支持多种语言）、可集成性强，作为一款开源工具，在多年来的发展中已经支持和许多主流的软件进行集成，比如：命令行、Ant、Maven、Gradle、Jenkins、Sonar等；具备使用方便，落地简单等优势。

2. 扫描原理

2 依赖性检查可用于扫描应用程序（及其依赖库），执行检查时会将 Common Platform Enumeration (CPE)国家漏洞数据库及NPM Public Advisories库下载到本地，再通过核心引擎中的一系列分析器检查项目依赖性，收集有关依赖项的信息，然后根据收集的依赖项信息与本地的CPE&NPM库数据进行对比，如果检查发现扫描的组件存在已知的易受攻击的漏洞则标识，最后生成报告进行展示。

2 官网文档：https://jeremylong.github.io/DependencyCheck/index.html

3. 主要特点

2 根据项目中的依赖库，搜集依赖的版本，厂商等信息，然后匹配NVD漏洞库，对比其中的CPE来确定此版本的依赖包是否存在漏洞

2 主要是用来检查java项目的依赖，但是对于js,c/c++,python，它也是具有一定的检查能力。

2 支持多种使用方式，各有优缺点。无论是jar包，还是目录，或者压缩文件，都能自动识别

2 第一次扫描的时候会需要等待很长时间。因为Dependency Check需要将从NVD下载数据库，则可能需要花十分钟甚至二十分钟。

2 在这之后，只要两次扫描的间隔时间不超过七天，就只需要维护一个很小的xml列表，它会在每次启动扫描的时候自动更新，大约只需要一分钟左右。

4. 安装使用

2 https://github.com/jeremylong/DependencyCheck

2 下载安装包https://bintray.com/jeremy-long/owasp/dependency-check

2 解压之后进入bin目录

2 启动扫描（首次扫描会自动下载cve漏洞列表，下载完成后自动开始扫描，Analysis Complete说明扫描结束）

--project 项目名
--scan 扫描文件名
--out 报告输出地址
dependency-check.bat --project test --scan test.war --out .

2 扫描结果

扫描完成后（Analysis Complete），报告文件存放在--out配置目录下，会生成dependency-check-report.html文件。

5. 报告查看