依赖扫描工具DependencyCheck

先上github地址:https://github.com/jeremylong/DependencyCheck
DependencyCheck是一款可以扫描依赖工具的软件,使用起来很方便,但是报告比较难读

  • https://bintray.com/jeremy-long/owasp/dependency-check下载最新的安装包

  • 解压之后进入bin目录,默认有两个文件

  • 将自己的项目打包成一个war包test.war

    1
    2
    3
    4
    5
    --project  项目名
    --scan  扫描文件名
    --out  报告输出地址

    ./dependency-check.bat --project test --scan test.war --out .

  • 等一段时间就可以看到生成了报告文件

    可以在列表里看到有漏洞的依赖名称
    点进去之后就可以看到详细的漏洞报告

  • 笔者看过自己项目的报告后发现,大部分的漏洞在特定场景下才会生效,但是为了避免万一,我们还是一劳永逸的升级一下jar包的版本

扫一扫,分享到微信

微信分享二维码

tag:

    缺失模块。
    1、请确保node版本大于6.2
    2、在博客根目录(注意不是yilia根目录)执行以下命令:
    npm i hexo-generator-json-content --save

    3、在根目录_config.yml里添加配置: 

      jsonContent:
    meta: false
    pages: false
    posts:
      title: true
      date: true
      path: true
      text: false
      raw: false
      content: false
      slug: false
      updated: false
      comments: false
      link: false
      permalink: false
      excerpt: false
      categories: false
      tags: true

大树,<br>人在首都,就职猪厂,<br>测试开发一枚<br><br>骐骥一跃不能十步,驽马十驾功在不舍<br><br>qq:565506019<br>