Panoramica¶
OWASP Dependency-Check è uno strumento Software Composition Analysis (SCA) che tenta di rilevare le vulnerabilità pubblicamente divulgate contenute nelle dipendenze di un progetto. Lo fa determinando se c'è un identificatore Common Platform Enumeration (CPE) per una determinata dipendenza, e se trovato, genererà un rapporto che collega le relative voci Common Vulnerability and Exposure (CVE). Supporti di controllo dipendenze Java, .NET, JavaScript, Python, Ruby, PHP e molti altri ecosistemi, rendendolo uno strumento essenziale per identificare le vulnerabilità note in componenti e librerie di terze parti utilizzate nei progetti software.
Important: Dependency-Check identifica le vulnerabilità note ma non può rilevare vulnerabilità zero-day o vulnerabilità del codice personalizzato. Dovrebbe essere utilizzato come parte di una strategia di test di sicurezza completa insieme all'analisi statica, al test dinamico e alla revisione manuale del codice.
Installazione¶
## Command Line Installazione¶
Java/JAR Installazione¶
Traduzione:
Installazione Docker¶
Traduzione:
Package Manager Installazione¶
Ubuntu/Debian¶
Traduzione:
macOS¶
Traduzione:
Windows¶
Traduzione:
Build Tool Integration¶
Maven Plugin¶
Traduzione:
Plugin di grado¶
Traduzione:
SBT Plugin¶
Traduzione:
Ant Task¶
Traduzione:
Uso di base¶
Scansioni semplici¶
Traduzione:
Opzioni di scansione avanzate¶
Traduzione:
Scansioni linguistiche-specifiche¶
Traduzione:
Configurazione e personalizzazione¶
Configuration File¶
¶
Suppression File¶
Traduzione:
Analizzatori personalizzati¶
Traduzione:
Automation Scripts¶
Scanner completo del progetto¶
Traduzione:
CI/CD Integration Script¶
Traduzione:
Sistema di monitoraggio della vulnerabilità¶
Traduzione:
Integrazione con altri strumenti¶
Sonar Integrazione delle quote¶
Traduzione:
JIRA Integration¶
Traduzione:
Slack Integration¶
Traduzione:
Risoluzione dei problemi¶
Questioni comuni¶
Problemi di aggiornamento database¶
Traduzione:
False Positives¶
Traduzione:
Emissione delle prestazioni¶
Traduzione:
Problemi di rete¶
Traduzione:
Ottimizzazione delle prestazioni¶
Traduzione:
Risorse¶
- OWASP Dependency-Check Official Site Dependency-Check GitHub Repository
- National Vulnerability Database
- Common Vulnerability Scoring System
- Software Composition Analysis Guide_
- OWASP Top 10 - Utilizzo di componenti con vulnerabilità note [Dependency-Check Jenkins Plugin](URL_38_
*Questo foglio di scacchi fornisce un riferimento completo per l'utilizzo OWASP Dependency-Check per l'analisi della composizione del software e la gestione delle vulnerabilità. Assicurarsi sempre di avere una corretta autorizzazione prima di scansione di dipendenze di terze parti e seguire le politiche di sicurezza della vostra organizzazione per la riparazione di vulnerabilità. *