Vai al contenuto

OWASP Controllo della dipendenza Foglio

Traduzione: Copia tutti i comandi Traduzione: Generare PDF < > ## Panoramica OWASP Dependency-Check è uno strumento Software Composition Analysis (SCA) che tenta di rilevare le vulnerabilità pubblicamente divulgate contenute nelle dipendenze di un progetto. Lo fa determinando se c'è un identificatore Common Platform Enumeration (CPE) per una determinata dipendenza, e se trovato, genererà un rapporto che collega le relative voci Common Vulnerability and Exposure (CVE). Supporti di controllo dipendenze Java, .NET, JavaScript, Python, Ruby, PHP e molti altri ecosistemi, rendendolo uno strumento essenziale per identificare le vulnerabilità note in componenti e librerie di terze parti utilizzate nei progetti software. > ⚠️ **Important**: Dependency-Check identifica le vulnerabilità note ma non può rilevare vulnerabilità zero-day o vulnerabilità del codice personalizzato. Dovrebbe essere utilizzato come parte di una strategia di test di sicurezza completa insieme all'analisi statica, al test dinamico e alla revisione manuale del codice. ## Installazione ### Installazione della linea di comando #### Java/JAR Installazione Traduzione: #### Installazione Docker Traduzione: #### Installazione di Package Manager ##### Ubuntu/Debian Traduzione: ##### mac. Traduzione: ##### Windows Traduzione: ### Integrazione degli strumenti di costruzione #### Maven Plugin Traduzione: #### Plugin di grado Traduzione: #### SBT Plugin Traduzione: #### Compito principale Traduzione: ## Uso di base ### Scansioni semplici Traduzione: ### Opzioni di scansione avanzate Traduzione: ### Scansioni linguistiche-specifiche Traduzione: ## Configurazione e personalizzazione ### File di configurazione # ### File di soppressione Traduzione: ### Analizzatori personalizzati Traduzione: ## Strumenti di automazione ### Scanner di progetto completo Traduzione: ### Script di integrazione CI/CD Traduzione: ### Sistema di monitoraggio della vulnerabilità Traduzione: ## Integrazione con altri strumenti ### Integrazione di SonarQube Traduzione: ### Integrazione JIRA Traduzione: ### Integrazione Slack Traduzione: ## Risoluzione dei problemi ### Questioni comuni #### Problemi di aggiornamento del database Traduzione: #### Falsi Positivi Traduzione: #### Problemi di prestazione Traduzione: #### Problemi di rete Traduzione: ### Ottimizzazione delle prestazioni Traduzione: ## Risorse - [OWASP Dependency-Check Official Site](__LINK_7_) - [Dependency-Check GitHub Repository](__LINK_7__) - [Database di vulnerabilità nazionale](__LINK_7__) - [Common Vulnerability Scoring System](__LINK_7_) - [Software Composition Analysis Guide](__LINK_7__) - [OWASP Top 10 - Utilizzo di componenti con vulnerabilità note](__LINK_7_) - [Dependency-Check Jenkins Plugin](__LINK_7_) --- *Questo foglio di scacchi fornisce un riferimento completo per l'utilizzo OWASP Dependency-Check per l'analisi della composizione del software e la gestione delle vulnerabilità. Assicurarsi sempre di avere una corretta autorizzazione prima di scansione di dipendenze di terze parti e seguire le politiche di sicurezza della vostra organizzazione per la riparazione di vulnerabilità. *