4depcheck
1.0.0
4Depcheck是一种工具,可以分析和检测来自不同编程语言的脆弱依赖关系/库。
在4Depcheck使用之前,您必须安装下一个要求:
您必须已经安装了使用4Depcheck的Docker。如果您需要Docker安装的说明,请参阅“ Howto intermant docker”页面。
为了避免使用docker命令时必须使用sudo ,请创建一个名为docker的Unix组并将用户添加到其中。当docker守护程序开始时,它使docker Group的Unix套接字读/写道的所有权。
对于4Depcheck的使用,您可以根据需要设置下一个环境变量:
export PROJECT_NAME='project_to_analyze'
export ABSOLUTE_PATH_TO_YOUR_PROJECT='/home/user/project_to_analyze'
如果您设置了以前的环境变量,则只需要运行下一个Docker命令:
$ docker run -v /tmp/4depcheck:/tmp/4depcheck
-v $ABSOLUTE_PATH_TO_YOUR_PROJECT:$ABSOLUTE_PATH_TO_YOUR_PROJECT
3grander/4depcheck:0.1.0 $PROJECT_NAME $ABSOLUTE_PATH_TO_YOUR_PROJECT
如果您尚未设置环境变量,则只需要根据需要替换上一个Docker命令中的变量。
上一个查询的预期输出将显示在stdout中,并将存储在/tmp/4depcheck/$PROJECT_NAME.json中。该输出的一个示例如下:
[{
"cve_severity": "medium",
"cve_product": "cxf",
"cve_product_version": "3.1.6",
"cve_id": "CVE-2017-3156",
"cve_type": "java",
"cve_product_file_path": "/opt/modules/system/org/apache/cxf/main/cxf-core-3.1.6.jar"
}, {
"cve_severity": "high",
"cve_product": "netty",
"cve_product_version": "4.0.33",
"cve_id": "CVE-2016-4970",
"cve_type": "java",
"cve_product_file_path": "/opt/modules/system/io/netty/main/netty-all-4.0.33.Final.jar"
}, {
"cve_severity": "high",
"cve_product": "xalan-java",
"cve_product_version": "2.7.1",
"cve_id": "CVE-2014-0107",
"cve_type": "java",
"cve_product_file_path": "/usr/plugins/xslt-debugger/lib/rt/xalan.jar"
}, {
"cve_severity": "high",
"cve_product": "xalan-java",
"cve_product_version": "2.7.1",
"cve_id": "CVE-2014-0107",
"cve_type": "java",
"cve_product_file_path": "/usr/plugins/xslt-debugger/lib/rt/serializer.jar"
}, {
"cve_severity": "medium",
"cve_product": "axis",
"cve_product_version": "1.4",
"cve_id": "CVE-2014-3596",
"cve_type": "java",
"cve_product_file_path": "/usr/plugins/tasks/lib/axis-1.4.jar"
}, {
"cve_severity": "medium",
"cve_product": "jquery",
"cve_product_version": "1.4.2",
"cve_id": "CVE-2011-4969",
"cve_type": "js",
"cve_product_file_path": "/usr/js/jquery-1.4.2/jquery.js"
}]
有关错误,问题和讨论,请使用github问题或在Twitter上(@3grander)ping我。
