4depcheck
1.0.0
4depcheck - это инструмент для анализа и обнаружения уязвимых зависимостей/библиотек с разных языков программирования благодаря:
Перед использованием 4DepCheck вы должны установить следующие требования:
Вы должны установить Docker для использования 4depcheck . Если вам нужны инструкции для установки Docker, см.
Чтобы избежать необходимости использовать sudo , когда вы используете команду docker , создайте группу UNIX с именем docker и добавьте к ней пользователей. Когда начинается демон docker , он делает право собственности на чтение/записи Unix для группы docker .
Для использования 4depcheck вы можете установить следующие переменные среды по мере необходимости:
export PROJECT_NAME='project_to_analyze'
export ABSOLUTE_PATH_TO_YOUR_PROJECT='/home/user/project_to_analyze'
Если вы установили предыдущие переменные среды, вам нужно только запустить следующую команду Docker:
$ docker run -v /tmp/4depcheck:/tmp/4depcheck
-v $ABSOLUTE_PATH_TO_YOUR_PROJECT:$ABSOLUTE_PATH_TO_YOUR_PROJECT
3grander/4depcheck:0.1.0 $PROJECT_NAME $ABSOLUTE_PATH_TO_YOUR_PROJECT
Если вы не установили переменные среды, вам нужно только заменить переменные в предыдущей команде Docker, как вам нужно.
Ожидаемый вывод для предыдущего запроса будет показан в Stdout, и он будет храниться в /tmp/4depcheck/$PROJECT_NAME.json project_name.json. Пример для этого вывода показан ниже:
[{
"cve_severity": "medium",
"cve_product": "cxf",
"cve_product_version": "3.1.6",
"cve_id": "CVE-2017-3156",
"cve_type": "java",
"cve_product_file_path": "/opt/modules/system/org/apache/cxf/main/cxf-core-3.1.6.jar"
}, {
"cve_severity": "high",
"cve_product": "netty",
"cve_product_version": "4.0.33",
"cve_id": "CVE-2016-4970",
"cve_type": "java",
"cve_product_file_path": "/opt/modules/system/io/netty/main/netty-all-4.0.33.Final.jar"
}, {
"cve_severity": "high",
"cve_product": "xalan-java",
"cve_product_version": "2.7.1",
"cve_id": "CVE-2014-0107",
"cve_type": "java",
"cve_product_file_path": "/usr/plugins/xslt-debugger/lib/rt/xalan.jar"
}, {
"cve_severity": "high",
"cve_product": "xalan-java",
"cve_product_version": "2.7.1",
"cve_id": "CVE-2014-0107",
"cve_type": "java",
"cve_product_file_path": "/usr/plugins/xslt-debugger/lib/rt/serializer.jar"
}, {
"cve_severity": "medium",
"cve_product": "axis",
"cve_product_version": "1.4",
"cve_id": "CVE-2014-3596",
"cve_type": "java",
"cve_product_file_path": "/usr/plugins/tasks/lib/axis-1.4.jar"
}, {
"cve_severity": "medium",
"cve_product": "jquery",
"cve_product_version": "1.4.2",
"cve_id": "CVE-2011-4969",
"cve_type": "js",
"cve_product_file_path": "/usr/js/jquery-1.4.2/jquery.js"
}]
Для ошибок, вопросов и обсуждений, пожалуйста, используйте проблемы GitHub или пинг меня в Twitter (@3grander).
