external ebp auto 解決方案 hresult 解決 sp2 product res

　　1、Dependency-Check可以檢查項目依賴包存在的已知、公開披露的漏洞。目前良好的支持Java和.NET；Ruby、Node.js、Python處於實驗階段；僅支持通過(autoconf and cmake)編譯的C/C++。主要提供針對owasp2017 top10的 A9 - Using Components with Known Vulnerabilities.問題的解決方案

　　2、Dependency-Check有命令行接口、Maven插件、Jenkins插件等。核心功能是通過包含的一系列分析器，來探測項目的依賴，收集依賴的各類信息，通過這些信息來確認其CPE，一旦CPE確認，就可以羅列出CVE（Comman Vulnerability and Exposure）

　　3、插件的所有公開漏洞信息都存儲在一個巨大的列表或者數據庫裏，你可以把它下載到本地，以方便快速查詢；記得定期更新這個列表或者數據庫

　　

　　

　　CPE全稱是Common Platform Enumeration，意思是通用平臺枚舉項。它是對識別出來的軟件、操作系統和硬件的一種命名方式。它目前有2種格式，2.2和2.3， 2.2的格式如下： 　　cpe:/h:huawei:e200e-usg2100:v100r005c01 　　cpe:/<part>:<vendor>:<product>:<version>:<update>:<edition>:<language> 2.3的格式如下： 　　cpe:2.3:h:huawei:e200_usg2200:v200r003c00:*:*:*:*:*:*:* 　　cpe:<2.3>:<part>:<vendor>:<product>:<version>:<update>:<edition>:<language> 　　其中，part表示目標類型，允許的值有a（應用程序）、h（硬件平臺）、o（操作系統）；vendor表示廠商名字；product表示產品名稱；version表示版本號；update表示更新包；edition表示版本；language表示語言項。 　　這七項不一定每次都出現。例如，在cpe:/o:freebsd:freebsd:3.5.1中，part為o，表示操作系統類型；vendor為freebsd，表示向量類型為freebsd；product為freebsd，表示產品為FreeBSD；version為3.5.1，表示FreeBSD的版本號。

參考：

1、https://www.owasp.org/index.php/OWASP_Dependency_Check

2、https://jeremylong.github.io/DependencyCheck/index.html#

3、https://nvd.nist.gov/products/cpe/search/results?keyword=usg&status=FINAL&orderBy=CPEURI&namingFormat=2.2

4、

OWASP Dependency-Check插件介紹及使用