1.介绍:Dependency-Check更方便的知道哪些jar存在高危漏洞,进而进行安全升级
2. 官网下载地址:https://www.owasp.org/index.php/OWASP_Dependency_Check
3.下载完以后解压:把如下plugins.zip解压到到此插件的bin目录下;如下图:
4.上图中标注出来的创建快捷方式;将快捷方式剪切并粘贴到%appdata%\Roaming\Microsoft\Windows\SendTo目录下
5.找到本地lib文件夹下的jar,右键选择发送到进行漏洞扫描;进行漏洞扫描,首次执行必须选update,保证本地库为最新状态,扫描完成之后
lib文件夹下面有dependency-check-report.html文件,打开,就可以看到有问题的jar包。下表是重要字段代表的含义:
|
Dependency - 被扫描的第三依赖库名字(默认只展示存在 CVE 漏洞的组件)
|
| Vulnerability IDs - 识别出来的漏洞受影响版本信息(CPE) |
| Package - 包信息链接地址,包括 Maven、source 仓库等 |
| Highest Severity - 所有关联的 CVE 的最高漏洞等级
超危漏洞,CVSS 评分为 9.0-10 分 CRITICAL
高危漏洞,CVSS 评分为 7.0-8.9 分 HIGH
中危漏洞,CVSS 评分为 4.0-6.9 分 MEDIUM
低危漏洞,CVSS 评分为 0-3.9 分 LOW
|
| Evidence Count - 识别 CPE 的数据个数 |
| CPE Confidence - dependency-check 正确识别 CPE 的准确程度 |
|
CVE Count - 关联的 CVE 个数
|
6.确认漏洞是否存在:
点击报告中 Dependency 列的 jar 文件,可定位到报告中记录该 jar 文件问题的位置,报告详细的列出了具体 的 CVE 问题及严重性级别和 CVSS评分。
点击 CVE 问题编号,可跳 转到美国国家漏洞数据库(NVD)查看漏洞的详细信息,确认漏洞是否真实存在。
7.plugins.zip压缩包的下载:链接: https://pan.baidu.com/s/1igfaybSqFJV5RMhU0H_RwA 提取码: 3n5d 复制这段内容后打开百度网盘手机App,操作更方便哦
如果连接失效,请关注我以后,在评论区留言,谢谢