[研究]源碼、弱點掃描可以掃出 NIST NVD CVE database 報告的 套件 or 元件 or 程式庫 弱點嗎？

[研究]源碼、弱點掃描可以掃出 NIST NVD CVE database 報告的 套件 or 元件 or 程式庫 弱點嗎？

2024-10-26

Does HP Fortify refer NIST NVD CVE database?
https://stackoverflow.com/questions/51378421/does-hp-fortify-refer-nist-nvd-cve-database

Answer

No, Fortify is a static code scanner which scans your code and produces a report which documents potential security vulnerabilities.

If you want to scan code for libraries that may have CVEs then try the OWASP Dependency Checker.

********************************************************************************

Fortify SCA 和 AWVS, WebInspect, AppScan, Nessus Pro 會參考 NIST  NVD CVE Database嗎 ?

Copilot

是的，這些工具（Fortify SCA、AWVS、WebInspect、AppScan 和 Nessus Pro）都會參考 NIST 的 NVD CVE Database。這些工具利用 CVE（常見漏洞暴露）識別符號來識別和分析軟體中的漏洞，並提供相應的修復建議。

********************************************************************************

所以只要用白箱、黑箱工具掃描就好，不用自己定期去查專案使用的 3rd Party 元件是否有弱點？

Copilot

白箱和黑箱工具的確能幫助你自動化地檢測弱點，但定期手動檢查專案使用的第三方元件還是很重要的。自動化工具可能無法涵蓋所有潛在的問題，特別是對於那些更新速度快的第三方元件。

NVD (National Vulnerability Database) 和 CVE (Common Vulnerabilities and Exposures) 資料庫定期更新，手動檢查可以確保你不會錯過最新的漏洞信息。此外，手動審查還能幫助你深入了解專案依賴的第三方元件的安全狀況，並做出更精確的風險評估。

所以，兩者結合使用會是最好的策略：自動化工具用於日常掃描，手動檢查補充自動化工具的不足，確保專案的全面安全。

********************************************************************************

請推薦合適掃描專案使用的套件、元件、程式庫的弱點的軟體 ?

ChatGPT 說：

推薦一些適合掃描專案中使用的套件、元件、和程式庫的安全漏洞的軟體，這些工具可以根據不同的需求和專案特性進行選擇。以下是幾個常用且功能齊全的選擇：

• Whitesource (Whitesource Bolt)：

專注於開源軟體的漏洞掃描，能夠自動識別專案中的開源元件，並提供來自NVD的漏洞信息。

支援多種編程語言，提供開源許可風險管理功能。

適用範圍：大型項目或需要開源合規性的公司，尤其適合DevOps流程中的持續整合（CI/CD）流程。

• Snyk：

Snyk專注於開源套件和Docker容器的漏洞掃描，支援多種語言（如JavaScript、Python、Java等）。

提供實時漏洞檢測和修復建議，能夠與GitHub、GitLab、Jenkins等工具無縫整合。

適用範圍：開發過程中使用大量開源元件或容器的專案，尤其適合在開發階段及早發現和修復漏洞。

• Dependabot (GitHub原生工具)：

GitHub的Dependabot工具可以自動檢查專案中的依賴項，並參考NVD的CVE資訊提出更新建議。

直接在GitHub中整合，不需要額外安裝。

適用範圍：使用GitHub進行版本管理的小型或中型項目。

• OWASP Dependency-Check：

一款開源的軟體組件漏洞掃描工具，主要針對Java和.NET的依賴項進行掃描，但也支援Node.js、Python等多種語言。

使用NVD的CVE數據庫來查找漏洞，並可生成詳細的報告。

適用範圍：需要一個本地開源方案來掃描項目中的依賴元件。

• Jfrog Xray：

Jfrog Xray是一款商業的安全掃描工具，支援多種語言和容器，能檢查元件、庫和Docker映像檔中的漏洞。

支援CI/CD整合和高效漏洞管理。

適用範圍：需要高效管理元件庫和容器漏洞的企業級用戶。

• Sonatype Nexus IQ：

專門針對開源元件的安全性和合規性管理，能掃描各種語言中的開源依賴和庫。

Nexus IQ提供詳細的漏洞報告和風險管理，並能與CI/CD工具鏈整合。

適用範圍：大型企業和需要合規性報告的項目。

• Fortify Software Composition Analysis (Fortify SCA)：

提供開源和商業元件的漏洞掃描，能生成符合NVD和CVE標準的詳細報告。

適用範圍：企業級專案或需要多層次安全管理的專案。

以上工具能有效幫助開發和安全團隊在使用的套件或程式庫中識別已知的安全漏洞，從而提升專案的整體安全性。

********************************************************************************

其實還有 OWASP Dependency-Track。

(完)