4depcheck
1.0.0
4Depcheck是一種工具,可以分析和檢測來自不同編程語言的脆弱依賴關係/庫。
在4Depcheck使用之前,您必須安裝下一個要求:
您必須已經安裝了使用4Depcheck的Docker。如果您需要Docker安裝的說明,請參閱“ Howto intermant docker”頁面。
為了避免使用docker命令時必須使用sudo ,請創建一個名為docker的Unix組並將用戶添加到其中。當docker守護程序開始時,它使docker Group的Unix套接字讀/寫道的所有權。
對於4Depcheck的使用,您可以根據需要設置下一個環境變量:
export PROJECT_NAME='project_to_analyze'
export ABSOLUTE_PATH_TO_YOUR_PROJECT='/home/user/project_to_analyze'
如果您設置了以前的環境變量,則只需要運行下一個Docker命令:
$ docker run -v /tmp/4depcheck:/tmp/4depcheck
-v $ABSOLUTE_PATH_TO_YOUR_PROJECT:$ABSOLUTE_PATH_TO_YOUR_PROJECT
3grander/4depcheck:0.1.0 $PROJECT_NAME $ABSOLUTE_PATH_TO_YOUR_PROJECT
如果您尚未設置環境變量,則只需要根據需要替換上一個Docker命令中的變量。
上一個查詢的預期輸出將顯示在stdout中,並將存儲在/tmp/4depcheck/$PROJECT_NAME.json中。該輸出的一個示例如下:
[{
"cve_severity": "medium",
"cve_product": "cxf",
"cve_product_version": "3.1.6",
"cve_id": "CVE-2017-3156",
"cve_type": "java",
"cve_product_file_path": "/opt/modules/system/org/apache/cxf/main/cxf-core-3.1.6.jar"
}, {
"cve_severity": "high",
"cve_product": "netty",
"cve_product_version": "4.0.33",
"cve_id": "CVE-2016-4970",
"cve_type": "java",
"cve_product_file_path": "/opt/modules/system/io/netty/main/netty-all-4.0.33.Final.jar"
}, {
"cve_severity": "high",
"cve_product": "xalan-java",
"cve_product_version": "2.7.1",
"cve_id": "CVE-2014-0107",
"cve_type": "java",
"cve_product_file_path": "/usr/plugins/xslt-debugger/lib/rt/xalan.jar"
}, {
"cve_severity": "high",
"cve_product": "xalan-java",
"cve_product_version": "2.7.1",
"cve_id": "CVE-2014-0107",
"cve_type": "java",
"cve_product_file_path": "/usr/plugins/xslt-debugger/lib/rt/serializer.jar"
}, {
"cve_severity": "medium",
"cve_product": "axis",
"cve_product_version": "1.4",
"cve_id": "CVE-2014-3596",
"cve_type": "java",
"cve_product_file_path": "/usr/plugins/tasks/lib/axis-1.4.jar"
}, {
"cve_severity": "medium",
"cve_product": "jquery",
"cve_product_version": "1.4.2",
"cve_id": "CVE-2011-4969",
"cve_type": "js",
"cve_product_file_path": "/usr/js/jquery-1.4.2/jquery.js"
}]
有關錯誤,問題和討論,請使用github問題或在Twitter上(@3grander)ping我。
