ホーム>JSPソースコード>その他のカテゴリー
ダウンロード

4Depcheck

4Depcheckは、さまざまなプログラミング言語から脆弱な依存関係/ライブラリを分析および検出するためのツールです。

  • OWASP依存関係チェック
  • retire.js

要件

4Depcheckの使用の前に、次の要件をインストールする必要があります。

  • Docker

Dockerのインストール

4depcheckを使用するためにDockerをインストールしている必要があります。 Dockerのインストールの手順が必要な場合は、Dockerページをインストールするハウツーを参照してください。

dockerコマンドを使用するときにsudoを使用する必要を避けるために、 dockerというunixグループを作成し、ユーザーを追加します。 dockerデーモンが起動すると、 dockerグループがUNIXソケットの所有権を読み取り/書き込み可能にします。

使用法

4Depcheckの使用については、必要に応じて次の環境変数を設定できます。 

    export PROJECT_NAME='project_to_analyze'
    export ABSOLUTE_PATH_TO_YOUR_PROJECT='/home/user/project_to_analyze'

以前の環境変数を設定した場合、次のDockerコマンドを実行する必要があります。 

    $ docker run -v /tmp/4depcheck:/tmp/4depcheck 
                 -v $ABSOLUTE_PATH_TO_YOUR_PROJECT:$ABSOLUTE_PATH_TO_YOUR_PROJECT 
                 3grander/4depcheck:0.1.0 $PROJECT_NAME $ABSOLUTE_PATH_TO_YOUR_PROJECT

環境変数を設定していない場合は、必要に応じて以前のDockerコマンドの変数を置き換えるだけです。

前のクエリの予想出力はstdoutに表示され、 /tmp/4depcheck/$PROJECT_NAME.json $project_name.jsonに保存されます。この出力の例を以下に示します。 

    [{   
        "cve_severity": "medium",
        "cve_product": "cxf",
        "cve_product_version": "3.1.6",
        "cve_id": "CVE-2017-3156",
        "cve_type": "java",
        "cve_product_file_path": "/opt/modules/system/org/apache/cxf/main/cxf-core-3.1.6.jar"
    }, {     
        "cve_severity": "high",
        "cve_product": "netty",
        "cve_product_version": "4.0.33",
        "cve_id": "CVE-2016-4970",
        "cve_type": "java",
        "cve_product_file_path": "/opt/modules/system/io/netty/main/netty-all-4.0.33.Final.jar"
    }, {
        "cve_severity": "high",
        "cve_product": "xalan-java", 
        "cve_product_version": "2.7.1", 
        "cve_id": "CVE-2014-0107",
        "cve_type": "java", 
        "cve_product_file_path": "/usr/plugins/xslt-debugger/lib/rt/xalan.jar"
    }, {
        "cve_severity": "high",
        "cve_product": "xalan-java",
        "cve_product_version": "2.7.1",
        "cve_id": "CVE-2014-0107",
        "cve_type": "java",
        "cve_product_file_path": "/usr/plugins/xslt-debugger/lib/rt/serializer.jar" 
    }, {
        "cve_severity": "medium",
        "cve_product": "axis",
        "cve_product_version": "1.4",
        "cve_id": "CVE-2014-3596",
        "cve_type": "java",
        "cve_product_file_path": "/usr/plugins/tasks/lib/axis-1.4.jar"
    }, {
        "cve_severity": "medium",
        "cve_product": "jquery",
        "cve_product_version": "1.4.2",
        "cve_id": "CVE-2011-4969", 
        "cve_type": "js",
        "cve_product_file_path": "/usr/js/jquery-1.4.2/jquery.js"
    }]

バグとフィードバック

バグ、質問、ディスカッションについては、githubの問題を使用するか、Twitter(@3grander)で私をpingしてください。

拡大する
追加情報
関連アプリ
おすすめ
関連情報 すべて