[研究]OWASP 深度掃描 (OWASP dep-scan)

[研究]OWASP 深度掃描 (OWASP dep-scan)

2026-05-09

介紹

OWASP dep-scan 是一款基於已知漏洞、安全建議和專案相依性授權限制的新一代安全和風險稽核工具。它支援本機程式碼庫和容器鏡像作為輸入，並且非常適合與 ASPM/VM 平台和 CI 環境整合。

特徵

掃描大多數應用程式程式碼（包括本機程式碼庫、Linux 容器映像、Kubernetes 清單和作業系統），以識別已知 CVE 並確定優先順序。

• 對多種語言執行高階可達性分析（參見可達性分析）
• 軟體包漏洞掃描在本地執行，速度非常快。無需使用伺服器！
• 產生包含漏洞揭露報告 (VDR) 資訊的軟體物料清單 (SBOM)
• 產生通用安全諮詢框架 (CSAF) 2.0 VEX 文件（請查看CSAF 自述文件）
• 對軟體包進行深度風險審計，以發現依賴關係混淆攻擊和維護風險（請參閱風險審計）。

OWASP 深度掃描 (OWASP dep-scan)
https://owasp.org/www-project-dep-scan/

(待續)