跳过内容

MASTG-TEST-0274: 应用 SBOM 中存在已知漏洞的依赖项

概述

在本测试用例中,我们将通过依赖软件物料清单(SBOM)来识别具有已知漏洞的依赖项。

步骤

  1. 要么要求开发团队以 CycloneDX 格式共享 SBOM,要么,如果您可以访问原始源代码,请按照 通过创建SBOM对Android依赖项进行软件成分分析(SCA)创建一个SBOM。
  2. 将 SBOM 上传到 dependency-track
  3. 检查 dependency-track项目中是否存在使用具有漏洞的依赖项的情况。

观察

输出应包括依赖项列表,其中包含名称和CVE标识符(如果有)。

评估

如果可以找到具有已知漏洞的依赖项,则测试用例失败。