MASTG-TOOL-0131:dependency-check
Dependency-Check 是一款软件成分分析 (SCA) 工具,旨在检测项目中依赖项中包含的已公开披露的漏洞。
然而,像 Dependency-Check 这样的 SCA 工具也有其局限性。 例如,它们通常无法扫描 IPA 或 APK 文件。 这有两个主要原因:
- 转换后的格式:这些库不再是其原始格式,而是应用程序编译后的二进制代码的一部分。 例如,Android 应用程序的 APK 中不包含第三方 JAR 文件,因为它们是编译后的 DEX 文件的一部分。
- 缺少元数据:构建移动应用程序时,库版本或名称等信息通常会被剥离或更改。
因此,Dependency-Check 最适合在灰盒环境中使用,在这种环境中,源代码或至少构建配置文件是可用的。 在这种情况下,该工具可以分析构建配置文件以识别依赖项及其版本。 例如:
- 对于 iOS,可以扫描 CocoaPods 的
Podfile或 Carthage 的Cartfile,以识别应用程序中使用的依赖项。 - 对于 Android,扫描
build.gradle文件以识别应用程序中使用的依赖项。