目录
第三方依赖可能在包清单(如 requirements.txt 或 package-lock.json)中被引用,但实际上并未在代码中使用。这类包中的漏洞或其他风险并无实际意义。当前的大多数 SCA 工具缺乏代码上下文信息,无法区分代码库中实际使用的依赖和未使用的依赖。SafeDep Code Analysis 框架为我们的免费开源工具 vet 增加了代码上下文功能。这使我们能够通过考虑依赖项在代码库中的实际使用情况来消除误报和噪音。在本文中,我们将探讨如何利用依赖使用证据来消除 SCA 中的噪音。
入门指南
请确保您的系统中已安装 vet。如需安装帮助,请参阅 vet 安装指南。
创建代码分析数据库
分析您的代码库以创建代码分析数据库:
bash
vet code scan --app /path/to/code --db /tmp/code.db使用代码分析数据库运行 vet 扫描
使用代码分析数据库运行 vet 扫描,以代码上下文信息增强 vet 结果:
bash
vet scan -D /path/to/repository --code /tmp/code.db演示
- sca
- nextgen-sca
- code-analysis
- guide
SafeDep 博客的最新内容
关注以获取开源安全与工程的最新更新和见解