Inicio>código fuente JSP>Otras categorias
Descargar

4depcheck

4Depcheck es una herramienta para analizar y detectar dependencias/bibliotecas vulnerables de diferentes lenguajes de programación gracias a:

  • Verificación de dependencia de OWASP
  • Jubilarse.js

Requisitos

Antes del uso de 4depcheck , debe haber instalado los siguientes requisitos:

  • Estibador

Instalación de Docker

Debe haber instalado Docker para usar 4Depcheck . Si necesita instrucciones para la instalación de Docker, consulte la página de Instalar Docker.

Para evitar tener que usar sudo cuando usa el comando docker , cree un grupo UNIX llamado docker y agregue los usuarios. Cuando comienza el docker Daemon, hace que la propiedad de Unix Socket lea/sea que el grupo docker .

Uso

Para el uso de 4depcheck , puede establecer las siguientes variables de entorno como lo necesite: 

    export PROJECT_NAME='project_to_analyze'
    export ABSOLUTE_PATH_TO_YOUR_PROJECT='/home/user/project_to_analyze'

Si ha establecido las variables de entorno anterior, solo necesita ejecutar el siguiente comando Docker: 

    $ docker run -v /tmp/4depcheck:/tmp/4depcheck 
                 -v $ABSOLUTE_PATH_TO_YOUR_PROJECT:$ABSOLUTE_PATH_TO_YOUR_PROJECT 
                 3grander/4depcheck:0.1.0 $PROJECT_NAME $ABSOLUTE_PATH_TO_YOUR_PROJECT

Si no ha establecido las variables de entorno, solo necesita reemplazar las variables en el comando Docker anterior como sea necesario.

La salida esperada para la consulta anterior se mostrará en el stDout y se almacenará en /tmp/4depcheck/$PROJECT_NAME.json . A continuación se muestra un ejemplo para esta salida: 

    [{   
        "cve_severity": "medium",
        "cve_product": "cxf",
        "cve_product_version": "3.1.6",
        "cve_id": "CVE-2017-3156",
        "cve_type": "java",
        "cve_product_file_path": "/opt/modules/system/org/apache/cxf/main/cxf-core-3.1.6.jar"
    }, {     
        "cve_severity": "high",
        "cve_product": "netty",
        "cve_product_version": "4.0.33",
        "cve_id": "CVE-2016-4970",
        "cve_type": "java",
        "cve_product_file_path": "/opt/modules/system/io/netty/main/netty-all-4.0.33.Final.jar"
    }, {
        "cve_severity": "high",
        "cve_product": "xalan-java", 
        "cve_product_version": "2.7.1", 
        "cve_id": "CVE-2014-0107",
        "cve_type": "java", 
        "cve_product_file_path": "/usr/plugins/xslt-debugger/lib/rt/xalan.jar"
    }, {
        "cve_severity": "high",
        "cve_product": "xalan-java",
        "cve_product_version": "2.7.1",
        "cve_id": "CVE-2014-0107",
        "cve_type": "java",
        "cve_product_file_path": "/usr/plugins/xslt-debugger/lib/rt/serializer.jar" 
    }, {
        "cve_severity": "medium",
        "cve_product": "axis",
        "cve_product_version": "1.4",
        "cve_id": "CVE-2014-3596",
        "cve_type": "java",
        "cve_product_file_path": "/usr/plugins/tasks/lib/axis-1.4.jar"
    }, {
        "cve_severity": "medium",
        "cve_product": "jquery",
        "cve_product_version": "1.4.2",
        "cve_id": "CVE-2011-4969", 
        "cve_type": "js",
        "cve_product_file_path": "/usr/js/jquery-1.4.2/jquery.js"
    }]

Errores y comentarios

Para errores, preguntas y discusiones, utilice los problemas de GitHub o ping Me en Twitter (@3grander).

Expandir
Información adicional
Aplicaciones relacionadas
Recomendado para ti
Información relacionada Todo