由于当前web应用依赖的第三方的库和框架越来越多,越来越复杂,比如Spring,Structs,Hibernate,Mybatis,以及各种第三方认证系统等。而且系统开发的时间一般选定某个版本后后在很长一段时间内都不会更新。因为更新的成本一般都比较高,但是往往这些依赖为了添加新的功能和修复各种当前的问题-当然包括安全问题,会经常更新。开源项目的安全问题只要被发现后,通常都会公布到网上去,比如CVE,CWE等,导致很多人都可能利用它去攻击使用这些依赖的系统。例如Structs远程命令执行的漏洞爆发后,都造成了大量网站的沦陷。
依赖组件检查就是通过扫描当前提醒使用到的第三方依赖,并和网上公布的安全漏洞进行比较,如果当前某个第三方依赖存在某种危险级别的漏洞。就立即发出警告来通知开发人员或者系统管理员。从而在最短的时间内修复这个问题,防止攻击,避免或者减少损失。
我们使用Dependency-Check来做组件检查,先在Jenkins中安装OWASP Dependency-Check Plugin插件,并在pipiline中增加对应stage
组件检查结果如下
重点关注存在高危漏洞的组件
安全漏洞详情
作者:Jeebiz 创建时间:2019-10-20 23:07
更新时间:2023-12-28 09:15
更新时间:2023-12-28 09:15
