OWASP Dependency Checkの活用方法。

そこで今回は、OWASPが提供するDependency Checkというツールを使って、「Webアプリケーションが利用しているコンポーネントとバージョンの把握」「利用しているコンポーネントに既知の脆弱性があるかどうか」を簡易的に実現する方法についてご紹介します。 Dependency Checkは、アプリケーションをスキャンし利用しているコンポーネントを調査します。そして、NVD（National Vulnerability Database）の脆弱性データベースを参照して利用しているコンポーネントに既知の脆弱性があるかどうかをレポートします。現時点ではJavaと.NETをサポートしています。レポートはデフォルトではHTMLで出力されます。

Struts2だけではない、OSSコンポーネントの更新漏れに注意 | セキュリティ対策のラック