DependencyCheck v3.3.1 - Um utilitário de análise de composição de software que detecta vulnerabilidades divulgadas publicamente em dependências de aplicativos - Anonymous Hacker

[Latest News][10]

Análise de Vulnerabilidade
ANDROID
ANONYMOUS
ANTI-DDOS
ANTI-SPYWARES E ADWARES
APK PRO
APOSTILAS
CIÊNCIA
CURSO PHP
CURSO TCP / IP
CURSOS
CYBORG
CYBORG FALÇÃO
DDOS
DEEPWEB
DICAS
DOCUMENTARIO
DoS
EXPLOIT
FACEBOOK
Ferramentas de rede
FORENSE DIGITAL
INVASÕES
IPHONE
JOGOS
KALI LINUX
Lixão
MAC OS
Malware
MySQL
NOTÍCIAS
PAGINA FAKE
PHP SCRIPT
Programa De Invasao
PROGRAMAÇÃO
PROGRAMAS
PROXY
SCRIPTS
SEGURANÇA
SHELL
SISTEMA OPERACIONAL
TÉCNICA DE INVASÃO
Termux
VIDEOS
VPN
WHATSAPP
WINDOWS
Wireless Attacks
z=

DependencyCheck v3.3.1 - Um utilitário de análise de composição de software que detecta vulnerabilidades divulgadas publicamente em dependências de aplicativos

DependencyCheck v3.3.1

Dependency-Check é uma ferramenta de análise de composição de software (SCA) que tenta detectar vulnerabilidades divulgadas publicamente contidas nas dependências de um projeto. Isso é feito determinando se existe um identificador de CPE (Common Platform Enumeration) para uma determinada dependência. Se encontrado, ele gerará um relatório vinculado às entradas CVE associadas.
Documentação e links para lançamentos binários de produção podem ser encontrados nas páginas do github . Além disso, mais informações sobre a arquitetura e formas de estender a verificação de dependência podem ser encontradas no wiki .

Versões Atuais do

Jenkins Plugin
Para obter instruções sobre o uso do plugin Jenkins, por favor veja a página OWASP Dependency-Check Plugin . 

Linha de Comando
Instruções mais detalhadas podem ser encontradas nas páginas do github de verificação de dependência . O CLI mais recente pode ser baixado da página de verificação de dependência do bintray
No * nix

$ ./bin/dependency-check.sh -h
$ ./bin/dependency-check.sh --project Testing --out . --scan [path to jar files to be scanned]
No Windows

> .\bin\dependency-check.bat -h
> .\bin\dependency-check.bat --project Testing --out . --scan [path to jar files to be scanned]
No Mac com Homebrew

$ brew update && brew install dependency-check
$ dependency-check -h
$ dependency-check --project Testing --out . --scan [path to jar files to be scanned]
sgdgfgf

Plugin Maven
Instruções mais detalhadas podem ser encontradas nas páginas do github dependency-check-maven . Por padrão, o plugin está vinculado à verifyfase (ie mvn verify). Alternativamente, pode-se invocar diretamente o plugin via mvn org.owasp:dependency-check-maven:check


Tarefa Ant Para obter instruções sobre o uso da Tarefa Ant, consulte a página do github dependency-check-ant . Uso de desenvolvimento As instruções a seguir descrevem como compilar e usar o instantâneo atual. Embora todas as intenções sejam manter um instantâneo estável, recomenda-se que as versões de lançamento listadas acima sejam usadas. O repositório possui alguns arquivos grandes devido aos recursos de teste. A equipe tentou limpar o histórico o máximo possível. No entanto, é recomendável que você execute um clone superficial para economizar tempo:

git clone --depth 1 https://github.com/jeremylong/DependencyCheck.git
No * nix

$ mvn install
$ ./cli/target/release/bin/dependency-check.sh -h
$ ./cli/target/release/bin/dependency-check.sh --project Testing --out . --scan ./src/test/resources
No Windows

> mvn install
> .\dependency-check-cli\target\release\bin\dependency-check.bat -h
> .\dependency-check-cli\target\release\bin\dependency-check.bat --project Testing --out . --scan ./src/test/resources
Em seguida, carregue o 'dependency-check-report.html' resultante em seu navegador favorito. Docker No exemplo a seguir, supõe-se que a origem a ser verificada esteja no diretório de trabalho atual. Dados persistentes e diretórios de relatórios são usados, permitindo que você destrua o contêiner após a execução.

#!/bin/sh

OWASPDC_DIRECTORY=$HOME/OWASP-Dependency-Check
DATA_DIRECTORY="$OWASPDC_DIRECTORY/data"
REPORT_DIRECTORY="$OWASPDC_DIRECTORY/reports"

if [ ! -d "$DATA_DIRECTORY" ]; then
    echo "Initially creating persistent directories"
    mkdir -p "$DATA_DIRECTORY"
    chmod -R 777 "$DATA_DIRECTORY"

    mkdir -p "$REPORT_DIRECTORY"
    chmod -R 777 "$REPORT_DIRECTORY"
fi

# Make sure we are using the latest version
docker pull owasp/dependency-check

docker run --rm \
    --volume $(pwd):/src \
    --volume "$DATA_DIRECTORY":/usr/share/dependency-check/data \
    --volume "$REPORT_DIRECTORY":/report \
    owasp/dependency-check \
    --scan /src \
    --format "ALL" \
    --project "My OWASP Dependency Check Project" \
    --out /report
    # Use suppression like this: (/src == $pwd)
    # --suppression "/src/security/dependency-check-suppression.xml"
Notas de Atualização Atualizando de 1.xx para 2.xx Observe que, ao atualizar a partir da versão 1.xx, as seguintes alterações precisarão ser feitas em sua configuração. Arquivo de supressão Para suportar vários arquivos de supressão, o mecanismo para configurar os arquivos de supressão foi alterado. Dessa forma, os usuários que definiram um arquivo de supressão em sua configuração precisarão atualizar. Veja os exemplos abaixo:

Ant
Old:
<dependency-check
  failBuildOnCVSS="3"
  suppressionFile="suppression.xml">
</dependency-check>
Novo:
<dependency-check
  failBuildOnCVSS="3">
  <suppressionFile path="suppression.xml" />
</dependency-check>

Maven
Old:
<plugin>
  <groupId>org.owasp</groupId>
  <artifactId>dependency-check-maven</artifactId>
  <configuration>
    <suppressionFile>suppression.xml</suppressionFile>
  </configuration>
</plugin>
Novo:
<plugin>
  <groupId>org.owasp</groupId>
  <artifactId>dependency-check-maven</artifactId>
  <configuration>
    <suppressionFiles>
      <suppressionFile>suppression.xml</suppressionFile>
    </suppressionFiles>
  </configuration>
</plugin>

Gradle
Além das alterações no arquivo de supressão, a tarefa dependencyCheckfoi renomeada para dependencyCheckAnalyze
Velho:
buildscript {
    repositories {
  mavenLocal()
    }
    dependencies {
        classpath 'org.owasp:dependency-check-gradle:2.0.1-SNAPSHOT'
    }
}
apply plugin: 'org.owasp.dependencycheck'

dependencyCheck {
 suppressionFile='path/to/suppression.xml'
}
check.dependsOn dependencyCheckAnalyze
Novo:
buildscript {
    repositories {
  mavenLocal()
    }
    dependencies {
        classpath 'org.owasp:dependency-check-gradle:2.0.1-SNAPSHOT'
    }
}
apply plugin: 'org.owasp.dependencycheck'

dependencyCheck {
 suppressionFiles = ['path/to/suppression1.xml', 'path/to/suppression2.xml']
}
check.dependsOn dependencyCheckAnalyze



Sobre

trabalho com segurança da informação a 13 anos, grande parte desse tempo como professor. Fiz meu bacharelado em ciência da computação, especialização em segurança da informação e logo após, mestrado em ciência da informação.

Nenhum comentário:

Postar um comentário

Start typing and press Enter to search