Sonarqube Owasp Dependency Check

1. ¿Cómo funciona la comprobación de dependencia de OWASP??
2. ¿SonarCloud verifica las dependencias??
3. ¿Cuál es el comando para las verificaciones de dependencia para escanear proyectos??

¿Cómo funciona la comprobación de dependencia de OWASP??

La comprobación de dependencia es una herramienta de análisis de composición de software (SCA) que intenta detectar vulnerabilidades divulgadas públicamente contenidas dentro de las dependencias de un proyecto. Lo hace determinando si hay un identificador de enumeración de plataforma común (CPE) para una dependencia dada.

¿SonarCloud verifica las dependencias??

Sorprendentemente, Sonarcloud no hace escaneo de dependencia. Hay formas de agregar complementos para SONARCUBE (auto -alojado, etc.) para agregar esta característica faltante. Pero en la solución SaaS, sin suerte!

¿Cuál es el comando para las verificaciones de dependencia para escanear proyectos??

Usando la línea de comandos

OWASP Dependency-Check-CLI es una herramienta de línea de comandos que utiliza el núcleo de verificación de dependencia para detectar vulnerabilidades divulgadas públicamente asociadas con las dependencias del proyecto escaneado.