- 1消息中间件RabbitMQ需要知道的6个端口的作用_4369端口是什么服务
- 2从入门到入狱之kali Linux 命令指令_进入kali linux的代码
- 3Datawhale X 魔搭 AI 夏令营第四期的学习活动 Task1笔记
- 4vs2019 git拉取代码提示密码错误_the provided password or token is incorrect or you
- 5【Redis】网络模型_redis网络模型
- 6Vitis AI 综合实践(迁移学习+模型量化+DPU部署)_vitis ai dpu
- 7IDEA中Git及可视化工具TortoiseGit简单使用_git可视化工具
- 8【Flutter】编写第一个 Flutter 应用(官方示例完整代码版)_flutter编写
- 9解决git@gitee.com: Permission denied (publickey). Could not read from remote repository._gitee权限被拒绝
- 10手把手教你搭建QQ机器人_chatgptqq机器人
PHP质量工具系列之 Owasp Dependency-Check_the dotnet 6.0 core runtime or sdk is required to
赞
踩
一个实用开源程序,用于识别项目依赖项并检查是否存在任何已知的,公开披露的漏洞。目前,已支持Java、.NET、Ruby、Node.js、Python等语言编写的程序,并为C/C++构建系统(autoconf和cmake)提供了有限的支持。而且该工具还是OWASP Top 10的解决方案的一部分。
下载dependency-check
选择最新版本的 command line
申请nvd api key
保存申请好的密钥,关闭网页后就无法再次获取
安装
将下载好的dependency-check.zip上传到linux中并解压
查看/bin/目录下dependency-check.sh
注意该工具需要先安装JAVA环境,如果是手动安装JAVA的,那么注意配置环境变量
执行
/bin/bash ./dependency-check/bin/dependency-check.sh -s ../project_name -f HTML -o ../wanaohui_admin --nvdApiKey xxxxxx --disableAssembly --disableRetireJS
- 1
命令参数介绍
-s,–scan 指定扫描目录
-o,–out 指定结果输出目录
-f,–format 输出格式为HTML 也可以选择XML等 具体可–help查看
–nvdApiKey 之前申请并保存的api key
–disableAssembly 禁用扫描 .net相关配置
–disableRetireJS 禁用扫描 js相关配置
扫描完成后会在 -o 指定的目录生成dependency-check-report.html, 流缆该页面查看结果
补充
–disableAssembly
不扫描net程序,启用该选项,否则报错如下,若需要扫描.net程序,直接安装.net Framework即可
[ERROR] ----------------------------------------------------
[ERROR] .NET Assembly Analyzer could not be initialized and at least one ‘exe’ or ‘dll’ was scanned. The ‘dotnet’ executable could not be found on the path; either disable the Assembly Analyzer or add the path to dotnet core in the configuration.
[ERROR] The dotnet 6.0 core runtime or SDK is required to analyze assemblies
[ERROR] ----------------------------------------------------
–disableRetireJS
如果不扫描js项目,这个配置可以加上
若需要扫描,但是报错 Failed to initialize the RetireJS repo
打开下面链接,复制里面的内容
https://github.com/RetireJS/retire.js/blob/master/repository/jsrepository.json
直接覆盖掉 ./dependency-check/data/jsrepository.json 里面的内容即可
转载请保留出处,都看到这里了,点个赞再走吧
PHP质量工具系列
PHP/JS质量工具,安全工具 总结
TOP 6 PHP代码质量工具
PHP质量工具系列之php-depend
PHP质量工具系列之phpmd
PHP质量工具系列之phpcpd
PHP质量工具系列之phploc
PHP质量工具系列之paslm
PHP质量工具系列之phpstan
PHP质量工具系列之Owasp dependency-check
PHP质量工具系列之php_codesniffer
PHP质量工具系列之phpunit
PHP质量工具系列之xhprof
SBOM生成之CycloneDX
CI/CD之Jenkins插件使用系列
jenkins插件之Jdepend
jenkins插件之plot
jenkins插件之dependency-check
jenkins插件之Warnings
jenkins插件之xunit
