admin管理员组

文章数量:1794759

软件成分分析和依赖安全检查

由于有这方面的安全需求,找了几个知名开源项目用了下,还是相当不错的。以补充原fortify checkmarx等代码安全扫描软件中的不足。

  1. 软件成分分析

主要是用于扫描许可证、版权、URL、电子邮件、包信息和文件信息,简要介绍下

代码语言:javascript代码运行次数:0运行复制
scancode -clipeu --json output.json samples

使用可视化导入扫描结果

license仪表盘

各方面综合视图

2. 依赖安全检查

OWASP 依赖性检查是一种软件SCA分析工具,可检测应用程序依赖性中公开披露的漏洞。

它会自动下载NVD数据库,并扫描指定目录,在当前目录输出默认的html报告。

扫描完毕

查看结果报告

简单介绍下结果:

  • 依赖性检查版本:9.0.9
  • 报告生成时间:2024 年 1 月 19 日星期五 14:31:08 +0800
  • 扫描的依赖项:85(81 个唯一)
  • 易受攻击的依赖项: 4
  • 发现漏洞:6
  • 已抑制的漏洞:0
  • NVD API 最后检查:2024-01-19T14:29:46+08
  • NVD API 最后修改时间:2024-01-19T05:15:09Z

3个高危,3个中危:

完整报告如下:

本文参与 腾讯云自媒体同步曝光计划,分享自微信公众号。原始发表:2024-01-19,如有侵权请联系 cloudcommunity@tencent 删除软件开源安全工具漏洞

本文标签: 软件成分分析和依赖安全检查

版权声明:本文标题:软件成分分析和依赖安全检查 内容由林淑君副主任自发贡献,该文观点仅代表作者本人, 转载请联系作者并注明出处:http://www.xiehuijuan.com/baike/1754605987a1704310.html, 本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容,一经查实,本站将立刻删除。