vulnerability-assessment-tool軟件包依賴項漏洞掃描工具

vulnerability-assessment-tool 是一個軟件組合分析（SCA）工具，它掃描 Java 和 Python 應用軟件包中的直接依賴項和間接依賴項，檢測出已知漏洞。

特性如下：

• 通過查找 Java 文件中的方法簽名并將其源碼與字節(jié)碼對比漏洞版本和修復版本，實現(xiàn)對漏洞代碼的檢測。
• 通過關于漏洞代碼的潛在和實際執(zhí)行信息，應用開發(fā)人員和安全專家對存在漏洞的依賴項進行評估。
• 向已知漏洞庫添加新漏洞不需要重新掃描應用程序。
• 給出緩解漏洞建議，通過計算多個指標，開發(fā)人員可以選擇漏洞依賴的最佳非漏洞替代品。
• 如果開發(fā)人員得出的結(jié)論是在給定的應用程序上下文中無法利用漏洞，那么可以不必進行單獨的分析。
• 組織內(nèi)部 CERT 可以查詢受相關漏洞影響的所有應用。