DependencyCheck漏洞扫描工具使用

一、简介

Dependency-Check 是 OWASP（Open Web Application Security Project）的一个实用开源程序，用于识别项目依赖项并检查是否存在任何已知的，公开披露的漏洞。目前，已支持Java、.NET、Ruby、Node.js、Python等语言编写的程序，并为C/C++构建系统（autoconf和cmake）提供了有限的支持。而且该工具还是OWASP Top 10的解决方案的一部分。
Dependency-Check 支持面广（支持多种语言）、可集成性强，作为一款开源工具，在多年来的发展中已经支持和许多主流的软件进行集成，比如：命令行、Ant、Maven、Gradle、Jenkins、Sonar等；具备使用方便，落地简单等优势。

 二、使用方式介绍

　　2.1 命令行式

./dependency-check.sh --disableRetireJS --disableNodeJS --project 工程名称 -s 扫描的jar包路径/. -o 输出的html报告路径/HZFB.html
# --project代表工程名
# --disableRetireJS代表不检查js
# --disableNodeJS代表不检查nodejs
# -s代表要检查的jar包文件夹，把jar包都放在该文件夹下即可
# -o 代表输出的路径

　  第一次使用会比较慢，它需要下载漏洞库到本地备份库。如下图：

　　下载完成后就会开始扫描jar包，匹配漏洞库中的漏洞，然后生成html报告。

 　　2.2 与Jenkins集成