开源软件安全检查工具

article/2025/9/2 15:46:15

0x00 安全要求

为了有效发现开源软件存在的安全问题,避免带病上线,在投入使用或发布上线时,需要遵循以下要求:

  1. 开源软件投入使用或者集成到系统进行部署发布前,须提交开源软件的安全检测报告,若报告里面存在严重(critical)或者高危(high)漏洞,则需要由应用开发部门对其进行升级修复或者加固后,方可进行部署发布
  2. 为了有效发现开源软件存在的安全问题,可以参考以下方式对开源软件进行安全检测,并提供安全检测报告。

0x01 发布前安全检测

1.开发完成时

在IDEA等研发工作台集成,建议使用Snyk Vulnerability Scanner进行开源组件漏洞或者查询附录1:常见开源软件安全版本列表进行自查。

目前Snyk Vulnerability Scanner插件最新版支持IDEA版本2020.2-2021.1,老旧版本或最新版本不一定支持具体,请参照插件官网及其介绍:Snyk Vulnerability Scanner - IntelliJ IDEs Plugin | Marketplace

安装成功后,需要进行激活认证,直接在IDEA 进行激活

如未能看到以上信息,需要手动激活,在Windows里面搜索并找到找到 snyk-win.exe,运行 snyk-win.exe auth  

看到连接后,直接跳转到或者复制连接到浏览器,使用GitHub账号或者其他账号登录授权。如下图所示

 

 

 

代码编写完成进行测试时,建议下载依赖包进行完整性调试后,再点击Run scan

在结果当中,可以清晰看到

  1. 哪些第三方组件存在漏洞
  2. 这些漏洞的等级如CRITICAL、HIGH、MEDIUM、LOW等
  3. 漏洞修复版本、漏洞简要情况等。

 

2.完成调试时

当项目完成开发后或无GitHub账号或者登录授权出现问题导致Snyk Vulnerability Scanner不可用或者不使用IDEA进行开发等情况,可单独使用DependencyCheck,因为首次使用需要下载漏洞库,耗时会比较长,需要提前部署准备环境。

GitHub - jeremylong/DependencyCheck: OWASP dependency-check is a software composition analysis utility that detects publicly disclosed vulnerabilities in application dependencies.

Windows 平台参考使用命令行:dependency-check.bat --project aa -s D:\code\aa -o D:\aa.html

3.发布上线时

系统集成发布使用Jenkins平台,请在Jenkins启用dependency-check-plugin

OWASP Dependency-Check | Jenkins plugin

  • 安装插件

[系统管理]-[插件管理]-[可选插件]安装OWASP Dependency-Check Plugin和Static Analysis Utilities

  • 工具安装

[系统管理]-[全局工具配置]-[Dependency_check安装]

  • 项目使用

生成html格式报告

 0x03 其他参考工具

1.开源组件安全扫描(OSS/SCA)开源工具

对于软件开发过程中,需要对第三方组件进行漏洞检查方面,可以考虑到的开源产品:
Dependency-Check(可以结合maven、Jenkins、sonar使用);链接:GitHub - jeremylong/DependencyCheck: OWASP dependency-check is a software composition analysis utility that detects publicly disclosed vulnerabilities in application dependencies.
陌陌安全 MOSEC-X-PLUGIN 系列插件开源;链接:源海拾贝 | 陌陌安全 MOSEC-X-PLUGIN 系列插件开源 - 安全客,安全资讯平台
snyk 可以扫描node.js nmp、ruby、java依赖中的漏洞,协议授权安全,多平台集成;链接:Snyk | Developer security | Develop fast. Stay secure.

2. 开源组件安全扫描(OSS/SCA)商业产品

对于软件开发过程中,需要对第三方组件进行漏洞检查方面,可以考虑到的商业产品:
OSS方面的商业产品:BlackDuck
FOSSology,开源授权协议合规检查产品
snyk,可以扫描node.js nmp、ruby、java依赖中的漏洞,协议授权安全,多平台集成;链接:Snyk | Developer security | Develop fast. Stay secure.
JFrog Xray,安全漏洞及依赖分析平台;链接:JFrog Xray - Universal Component Analysis - JFrog


http://chatgpt.dhexx.cn/article/Iah59Fcy.shtml

相关文章

Xray安全评估工具使用

Xray安全评估工具使用

xray 是一款功能强大的安全评估工具,主要特性有: 检测速度快。发包速度快; 漏洞检测算法高效。支持范围广。大至 OWASP Top 10 通用漏洞检测,小至各种 CMS 框架 POC,均可以支持。高级可定制。通过配置文件暴露了引擎的各种参数,通…
阅读更多...
15个适用于Linux的最佳安全工具

15个适用于Linux的最佳安全工具

面对现今互联网各类病毒和攻击的层出不穷,即使是Linux也不能幸免。本文我将为大家介绍15款Linux安全工具并附下载链接: 1. Firejail Firejail是一个基于c的社区SUID项目,通过管理使用Linux命名空间和seccomp-bpf的应用程序所用的访问权&…
阅读更多...
web安全工具 御剑后台扫描layer子域名挖掘机

web安全工具 御剑后台扫描layer子域名挖掘机

先使用御剑对某学校官网扫一下 御剑这个工具主要用于扫描网站后台登陆界面 扫描结果分析:HTTP响应为200说明该域名允许被访问 没有找到login、或者可疑的后台管理域名界面 index.html通常为html头部文件可测试访问 Layer子域名挖掘机软件特性 Layer子域名挖掘机…
阅读更多...
网络安全工具使用集锦手册

网络安全工具使用集锦手册

如果想跟我一起讨论的话,就快加入我的知识星球吧。星球里有一千多位同样爱好安全技术的小伙伴一起交流! 常用工具: Nmap使用详解Sqlmap使用详解Metasploit Framework(MSF)的使用MSF中kiwi模块的使用MSF中mimikatz模块的使用Msfvenonm生成后门木马
阅读更多...
如何使用开源工具构建您的网络安全工具包

如何使用开源工具构建您的网络安全工具包

如何使用开源工具构建您的网络安全工具包 | How to Build Your Cybersecurity Toolkits with Open Source Tools - Yu Chen, Aqua Security 开源是云原生的自然属性。在当前市场中,有一些商业工具可为云原生的全生命周期提供保护。然而,对于刚刚进入云原…
阅读更多...
网络安全工具有哪些

网络安全工具有哪些

网络安全工具有哪些?下面就带大家了解一下: 目前比较常见的网络安全测试工具有以下几种:Nmap(端口扫描器),Metasploit(漏洞监测工具),Wireshark(手动分析包工…
阅读更多...
linux安全工具(RKHunter)

linux安全工具(RKHunter)

RKHunter简介 RKHunter是专业检测系统是否感染rootkit的一个工具,它通过执行一系列的脚本来确认服务器是否已经感染rootkit。在官方资料中,RKHunter可以做的事情有: MD5校验测试,检测文件是否有改动 检测rootkit使用的二进制和…
阅读更多...
AK4安全工具集装箱V1.0.1正式发布

AK4安全工具集装箱V1.0.1正式发布

AK4团队首款自研工具“AK4安全工具集装箱v1.0.1”正式发布 开发者:Bains 辅助开发者:浪飒、alsly 请不要将本工具用于非法用途,仅限自行测试。前言 大学的时候就有这种把所有工具集成在一起的想法,因为安全所需工具太多&#xff…
阅读更多...
白帽黑客与网络安全工具浅析

白帽黑客与网络安全工具浅析

什么是白帽黑客? “黑客”一词是英文Hacker的音译。这个词早在莎士比亚时代就已存在了,但是人们第一次真正理解它时,却是在计算机问世之后。根据《牛津英语词典》解释,“hack”一词最早的意思是劈砍,而这个词意很容易…
阅读更多...
安全工具介绍

安全工具介绍

在进行渗透测试时,根据渗透的流程可以将工具分为︰信息收集工具、漏洞扫描工具渗透攻击工具、后渗透工具等,包括︰ 信息收集(爱企查、Google、Shodan、Nmap )漏洞扫描(AwVS、Nessus )渗透攻击(Hydra 、Metasploit )后渗透攻击(Metasploit ) …
阅读更多...
【赶快收藏】网络安全常用的工具!

【赶快收藏】网络安全常用的工具!

从事渗透测试工作,我们不仅要有过硬的技术,还需要学会利用渗透工具来检测安全漏洞,这样才可以让我们的工作更高效、更快捷。那么常用的渗透测试工具你知道哪个?以下是小编整理的相关内容,快来看看吧。 第一、NST:网络…
阅读更多...
初学网络安全不可不知的:10款开源安全工具

初学网络安全不可不知的:10款开源安全工具

随着互联网的不断发展,安全问题也越来越受到企业的重视。但安全问题往往需要大量资金的投入,例如聘请安全工程师,产品研发,测试等流程。这对于那些原本就资金紧缺的企业而言,是绝对无法接受的。因此,为了减…
阅读更多...
6款好用免费的网络安全工具合集!

6款好用免费的网络安全工具合集!

从事网络安全相关工作,我们不仅要具备扎实的技术积累和实战项目经验,好用的网络安全工具也是不能少的,它在工作中可起到关键性作用。本文为大家推荐免费开源的网络安全工具,快来了解一下吧。 1、Kali Linux Kali linux是一个基于…
阅读更多...
Windows定时开关机

Windows定时开关机

一、定时关机 按WINR,打开运行对话框 输入命令shutdownn -s -t 3600 如果要取消关机,可以按WINR,打开运行对话框 输入命令shutdownn -a就可以取消自动关机. 二、每天定时关机 三、定时开机 自动定时开机的实现 首先在启动计算机时,按“Delete”键进入BIOS界面…
阅读更多...
PVE 定时关机 定时开机

PVE 定时关机 定时开机

一、winSCP登录PVE, 二、进入/etc目录 三、修改crontab文件,#前最后一行加入 55 23 * * * root /sbin/shutdown -h now 四、保存即可,每天23点55PVE可定时关机。 五、定时开机 需要主板支持,以昂达h81主板为例 1.开机时点del…
阅读更多...
win10定时关机c语言,win10 定时关机命令怎么设置_win10怎么设置定时关机指令-win7之家...

win10定时关机c语言,win10 定时关机命令怎么设置_win10怎么设置定时关机指令-win7之家...

在电脑上是可以设置定时关机的,一般会用在我们进行下载的软件还没下载完上使用的,不过系统的不同,定时关机的命令也会不一样,那么win10怎么设置定时关机指令呢,下面小编给大家分享设置win10定时关机命令的方法步骤。 解…
阅读更多...
win7 计算机定时关机脚本,Win7定时关机命令 win7系统怎么设置定时关机

win7 计算机定时关机脚本,Win7定时关机命令 win7系统怎么设置定时关机

有时候我们会在电脑上面下载一些软件或者电影时,但一直在旁边等着又会耽误我们做其他事情,这时我们就可以使用电脑定时关机功能了,那么win7系统怎么设置定时关机呢,其实我们可以通过win7定时关机命令来实现电脑自动定时关机&#…
阅读更多...
网页自动关机代码HTML,自动定时关机命令

网页自动关机代码HTML,自动定时关机命令

win7自动关机怎样设置,实现定时关机的命令和工具 可在windows 7操作系统中参考以下步骤进行定时关机: Windows 7在开始菜单底部的搜索栏输入“计划任务”; 通过“任务计划程序”中单击“创建基本任务”,打开任务向导; …
阅读更多...
win7 计算机定时关机脚本,win7定时关机设置及命令

win7 计算机定时关机脚本,win7定时关机设置及命令

电脑定时关机是一个常用的功能,定时关机的小软件也有不少,但 Win7 也为我们提供了定时关机的功能,额外下载软件不如就地取材。 win7定时关机可通过两种方式实现,一种是创建计划任务,另一种是用win7定时关机命令 shutdown,两种方法都可以实现每天定时关机。 一、创建计划任…
阅读更多...
计算机开关机命令,电脑定时关机命令取消以及开启方法介绍

计算机开关机命令,电脑定时关机命令取消以及开启方法介绍

现在的网络通信是越来越发达,最开始使用网络电子产品之一就是电脑。最早的电脑刚被发明出来的时候,还是一个功能单一体型庞大的计算机。直到后来市面上有人发明了计算机系统和网络,电脑在我们生活中的应用也就越来越广泛了,我们可…
阅读更多...
推荐文章

Copyright @ 2022~2023