CURSO EBOOKS GRÁTIS

[CURSOS][bsummary]

APK PRO MOD

[APK PRO][twocolumns]

NOTÍCIAS

[NOTÍCIAS][bleft]

Pentest Ferramentas Hacker

[KALI LINUX][grids]

DependencyCheck v3.3.1 - Um utilitário de análise de composição de software que detecta vulnerabilidades divulgadas publicamente em dependências de aplicativos

DependencyCheck v3.3.1

Dependency-Check é uma ferramenta de análise de composição de software (SCA) que tenta detectar vulnerabilidades divulgadas publicamente contidas nas dependências de um projeto. Isso é feito determinando se existe um identificador de CPE (Common Platform Enumeration) para uma determinada dependência. Se encontrado, ele gerará um relatório vinculado às entradas CVE associadas.
Documentação e links para lançamentos binários de produção podem ser encontrados nas páginas do github . Além disso, mais informações sobre a arquitetura e formas de estender a verificação de dependência podem ser encontradas no wiki .

Versões Atuais do

Jenkins Plugin
Para obter instruções sobre o uso do plugin Jenkins, por favor veja a página OWASP Dependency-Check Plugin . 

Linha de Comando
Instruções mais detalhadas podem ser encontradas nas páginas do github de verificação de dependência . O CLI mais recente pode ser baixado da página de verificação de dependência do bintray
No * nix

$ ./bin/dependency-check.sh -h
$ ./bin/dependency-check.sh --project Testing --out . --scan [path to jar files to be scanned]
No Windows

> .\bin\dependency-check.bat -h
> .\bin\dependency-check.bat --project Testing --out . --scan [path to jar files to be scanned]
No Mac com Homebrew

$ brew update && brew install dependency-check
$ dependency-check -h
$ dependency-check --project Testing --out . --scan [path to jar files to be scanned]
sgdgfgf

Plugin Maven
Instruções mais detalhadas podem ser encontradas nas páginas do github dependency-check-maven . Por padrão, o plugin está vinculado à verifyfase (ie mvn verify). Alternativamente, pode-se invocar diretamente o plugin via mvn org.owasp:dependency-check-maven:check


Tarefa Ant Para obter instruções sobre o uso da Tarefa Ant, consulte a página do github dependency-check-ant . Uso de desenvolvimento As instruções a seguir descrevem como compilar e usar o instantâneo atual. Embora todas as intenções sejam manter um instantâneo estável, recomenda-se que as versões de lançamento listadas acima sejam usadas. O repositório possui alguns arquivos grandes devido aos recursos de teste. A equipe tentou limpar o histórico o máximo possível. No entanto, é recomendável que você execute um clone superficial para economizar tempo:

git clone --depth 1 https://github.com/jeremylong/DependencyCheck.git
No * nix

$ mvn install
$ ./cli/target/release/bin/dependency-check.sh -h
$ ./cli/target/release/bin/dependency-check.sh --project Testing --out . --scan ./src/test/resources
No Windows

> mvn install
> .\dependency-check-cli\target\release\bin\dependency-check.bat -h
> .\dependency-check-cli\target\release\bin\dependency-check.bat --project Testing --out . --scan ./src/test/resources
Em seguida, carregue o 'dependency-check-report.html' resultante em seu navegador favorito. Docker No exemplo a seguir, supõe-se que a origem a ser verificada esteja no diretório de trabalho atual. Dados persistentes e diretórios de relatórios são usados, permitindo que você destrua o contêiner após a execução.

#!/bin/sh

OWASPDC_DIRECTORY=$HOME/OWASP-Dependency-Check
DATA_DIRECTORY="$OWASPDC_DIRECTORY/data"
REPORT_DIRECTORY="$OWASPDC_DIRECTORY/reports"

if [ ! -d "$DATA_DIRECTORY" ]; then
    echo "Initially creating persistent directories"
    mkdir -p "$DATA_DIRECTORY"
    chmod -R 777 "$DATA_DIRECTORY"

    mkdir -p "$REPORT_DIRECTORY"
    chmod -R 777 "$REPORT_DIRECTORY"
fi

# Make sure we are using the latest version
docker pull owasp/dependency-check

docker run --rm \
    --volume $(pwd):/src \
    --volume "$DATA_DIRECTORY":/usr/share/dependency-check/data \
    --volume "$REPORT_DIRECTORY":/report \
    owasp/dependency-check \
    --scan /src \
    --format "ALL" \
    --project "My OWASP Dependency Check Project" \
    --out /report
    # Use suppression like this: (/src == $pwd)
    # --suppression "/src/security/dependency-check-suppression.xml"
Notas de Atualização Atualizando de 1.xx para 2.xx Observe que, ao atualizar a partir da versão 1.xx, as seguintes alterações precisarão ser feitas em sua configuração. Arquivo de supressão Para suportar vários arquivos de supressão, o mecanismo para configurar os arquivos de supressão foi alterado. Dessa forma, os usuários que definiram um arquivo de supressão em sua configuração precisarão atualizar. Veja os exemplos abaixo:

Ant
Old:
<dependency-check
  failBuildOnCVSS="3"
  suppressionFile="suppression.xml">
</dependency-check>
Novo:
<dependency-check
  failBuildOnCVSS="3">
  <suppressionFile path="suppression.xml" />
</dependency-check>

Maven
Old:
<plugin>
  <groupId>org.owasp</groupId>
  <artifactId>dependency-check-maven</artifactId>
  <configuration>
    <suppressionFile>suppression.xml</suppressionFile>
  </configuration>
</plugin>
Novo:
<plugin>
  <groupId>org.owasp</groupId>
  <artifactId>dependency-check-maven</artifactId>
  <configuration>
    <suppressionFiles>
      <suppressionFile>suppression.xml</suppressionFile>
    </suppressionFiles>
  </configuration>
</plugin>

Gradle
Além das alterações no arquivo de supressão, a tarefa dependencyCheckfoi renomeada para dependencyCheckAnalyze
Velho:
buildscript {
    repositories {
  mavenLocal()
    }
    dependencies {
        classpath 'org.owasp:dependency-check-gradle:2.0.1-SNAPSHOT'
    }
}
apply plugin: 'org.owasp.dependencycheck'

dependencyCheck {
 suppressionFile='path/to/suppression.xml'
}
check.dependsOn dependencyCheckAnalyze
Novo:
buildscript {
    repositories {
  mavenLocal()
    }
    dependencies {
        classpath 'org.owasp:dependency-check-gradle:2.0.1-SNAPSHOT'
    }
}
apply plugin: 'org.owasp.dependencycheck'

dependencyCheck {
 suppressionFiles = ['path/to/suppression1.xml', 'path/to/suppression2.xml']
}
check.dependsOn dependencyCheckAnalyze



0 comentários via Blogger
comentários via Facebook

Nenhum comentário :

Seu JavaScript esta Desabilitado, favor habilita-lo para usar o site!Aguarde..