我只是想知道在OWASP Dependency-Check插件中扫描python repo的过程是什么。我有一个python repo,那里有很多python文件。我已将scanpath配置为/**/*.py,但我看到了像depependency-check-report.xml这样的报告,其中包含0个唯一警告和0个重复项。然后我从github扫描了另一个测试回购并得到了相同的结果。我错过了什么吗?应该有一些报道。
答案 0 :(得分:0)
我最终下载并运行了cli。如下所示。
wget http://dl.bintray.com/jeremy-long/owasp/dependency-check-3.0.2-release.zip
unzip dependency-check-3.0.2-release.zip
/home/ec2-user/dependency-check/bin/dependency-check.sh --project "Dev" --scan "/src/python" --format "XML" --disableNSP "true" --enableExperimental --disablePyDist "false" --disablePyPkg "false"
dependencyCheckPublisher canComputeNew: false, defaultEncoding: '', healthy: '0', pattern: '', unHealthy: '1000'
答案 1 :(得分:-1)
从网址https://www.owasp.org/index.php/OWASP_Dependency_Check下载命令行工具 将zip解压缩到某个位置。 对于Windows,请从bin位置运行以下命令
dependency-check.bat --project“App Name”--scan“c:\ java \ application”
您可以在bin位置找到依赖项检查报告作为html文件。报告显示依赖关系,漏洞列表,相应的严重性,这有助于我们解决已知的安全问题。
使用命令行工具的步骤 - OWASP Dependency-Check https://jeremylong.github.io/DependencyCheck/dependency-check-cli/index.html