Dependency-Check：开源软件组成分析（SCA）工具

Dependency-Check是一个开源软件组成分析（SCA）工具，用于识别项目依赖项中公开披露的漏洞。

该工具分析通用平台枚举（CPE）标识符的依赖关系。当发现匹配项时，该工具会生成一份报告，其中包含相关常见漏洞和暴露（CVE）条目的链接，帮助团队应对安全风险。

依赖性-检查主要组件

该工具由四个主要组件组成：

• 引擎：中央控制器，按照正确的顺序协调所有其他组件的执行。
• 扫描仪：遍历-scan命令行参数指定的文件和目录，识别可用分析器可以处理的文件。这些文件是创建依赖对象的基础。
• 分析器：应用程序的核心组件，负责处理依赖项。它通过添加相关信息，如证据、标识符或漏洞（详见下文）来丰富依赖对象。
• 报告生成器：根据分析器的发现，使用速度模板来构建输出，编译和生成已确定的依赖项的报告。

漏洞数据库

该工具使用NIST的NVD数据源自动更新其漏洞数据库。初始数据下载可能需要五分钟或更长时间，但后续更新只需要一个小的XML文件，前提是该工具至少每七天运行一次，以保持数据是最新的。本产品使用NVD API，但未经NVD认可或认证。

依赖性检查在GitHub上免费提供。

消息来源：helpnetsecurity, 编译：安全114； 

本文由 anquan114.com 翻译整理，封面来源于网络；  

转载请注明“转自 anquan114.com”并附上原文