如何掌握 OWASP 依赖项检查报告

问题描述 投票:0回答:2

我们正在使用 OWASP 依赖性检查。这是一个很棒的工具,但它报告了很多漏洞。其中很大一部分是误报。我们可以使用 抑制文件 来抑制它们,但是对于微服务,我们必须在每个 repo 中都这样做,这很耗时。有没有更好的办法?我们没有 Snyk 和类似工具的预算

security owasp build-dependencies snyk
2个回答
1
投票

有多种选择

  1. 共享抑制文件,可以在依赖检查插件中指定远程URL。
  2. 使用Dependency Shield简化流程
0
投票

你可以使用

free version of Snyk
。如果您禁用 PR 测试,您可以在每月 200 次扫描限制下扫描大量项目 您不会有集中报告,但 CICD 扫描应该是有效的,您可以生成本地报告并以 JSON 格式导出

最新问题
© www.soinside.com 2019 - 2024. All rights reserved.