DependencyCheck开源的软件组件漏洞检测工具

DependencyCheck是一个开源的软件组件漏洞检测工具，用于帮助开发人员和安全团队发现项目中使用的第三方库中的已知漏洞。它扫描应用程序的依赖关系，包括第三方库、框架和其他组件，然后与漏洞数据库进行比较，以识别是否存在已公开披露的安全漏洞。

1.主要特点包括：

1. **自动化扫描：** DependencyCheck可以自动扫描项目中使用的第三方库，无需手动进行配置。

2. **多种格式支持：** 它支持多种输出格式，包括HTML、XML、CSV、JSON、JUNIT、SARIF、JENKINS、GITLAB等，方便集成到不同的开发和CI/CD工具中。

3. **CVSS评分支持：** 对于识别到的漏洞，DependencyCheck会提供CVSS评分，帮助用户了解漏洞的严重程度。

4. **持续更新：** 漏洞数据库会定期更新，以确保检测到的漏洞信息是最新的。

5. **易于使用：** DependencyCheck提供了命令行界面和插件，使其易于集成到现有的开发和部署流程中。

通过使用DependencyCheck，开发团队可以及早发现并解决项目中存在的安全漏洞，提高应用程序的安全性和稳定性。

2.github地址：https://github.com/jeremylong/DependencyCheck

3.下载地址：https://github.com/jeremylong/DependencyCheck/releases 例如选择dependency-check-9.0.9-release.zip进行下载。

 

4.解压dependency-check-9.0.9-release.zip。

5.在bin文件中运行如下命令：dependency-check.bat -h  可以看到一些支持的命令。

6.在bin文件中运行如下命令：dependency-check.bat --out . --scan "E:\jar\jecie-admin.jar"   支持jar包和war包 ，第一次使用好像要下载数据包，会很慢耐心等待（如果没有nvdApiKey），大概15分钟，可以在cmd窗口看到进度。

7.运行结束后可以看到在bin文件下多了一个文件，当然这个报告生成的路径可以通过--out参数指定。

 

 8.在报告中发现了 20 个存在漏洞的依赖项，总共发现了 68 个漏洞。

 9.通过报告，需要到maven市场找没有漏洞的jar，maven市场地址：https://mvnrepository.com/。