MASTG-TEST-0273: 通过扫描依赖管理器工件识别存在已知漏洞的依赖项

概述

在此测试用例中，我们正在识别iOS中具有已知漏洞的依赖项。依赖项通过依赖管理器集成，并且可能使用一个或多个依赖管理器。因此，我们需要由它们创建的所有相关工件，以便使用 SCA 扫描工具对其进行分析。

步骤

1. 为了以最有效的方式做到这一点，你需要询问开发人员正在使用哪些依赖管理器，并共享由它们创建的相关文件。遵循 通过扫描包管理器工件对 iOS 依赖项进行软件组成分析 (SCA)，以了解包管理器的概述，并请求相关文件。

2. 运行 SCA 分析工具（例如 dependency-check，针对依赖管理器创建的文件运行分析，并查找对易受攻击的依赖项的使用情况。

观察

输出应包括依赖项名称和具有已知漏洞的任何依赖项的 CVE 标识符。

评估

如果可以找到具有已知漏洞的依赖项，则测试用例失败。

演示

MASTG-DEMO-0053：通过 SBOM 创建识别 SwiftPM 中的不安全依赖项 MASTG-DEMO-0052：扫描包管理器工件以查找不安全的 iOS 依赖项