我正在开发几个大型 .NET Web 应用程序,并希望审核其中使用的包。对于我使用过的节点项目npm audit。这将检查您的 npm 包或其依赖项是否有任何已知漏洞。
.NET 有类似的项目吗?
nuget 包是否有等效的 npm 审计?
信息安全
审计
。网
2021-08-23 00:10:15
3个回答
另一种选择是我的项目:https ://github.com/RetireNet/dotnet-retire
它只报告 Microsoft 包并且仅适用于 .NET Core 项目。不过,它确实包括运行时漏洞检查。
我在这里写过:
https://blogg.blank.no/hunting-for-vulnerable-nugets-in-net-core-3c37f30e467a https://blogg.blank.no/automatic-reports-for-vulnerable-asp-net-core-runtimes -426ebcd93ad0
不幸的是,选择相当有限。除了您可以使用的普通 FxCop 工具外,还有一个称为 SafeNuGet 的 OWASP 实现。我已经有一段时间没有使用它了,我看到最后一次更新已经很旧了。
在过去的几年里,景观并没有太大变化。我唯一看到的是 DevAudit。我已经尝试过 Visual Studio 扩展及其相关的命令行实用程序,但都没有继续使用。
它报告的一些漏洞感觉是错误的,但它也确实出现了真实的漏洞。命令行工具令人沮丧,因为它无法生成易于在 CI 任务中使用的结构化数据。
在商业领域,Black Duck声称在这个领域拥有全面的东西。不过它看起来确实相当昂贵(要求定价......)