Sto lavorando su un paio di grandi applicazioni Web .NET e vorrei verificare i pacchetti utilizzati al loro interno. Per i progetti di nodi ho usato nsp audit . Questo controlla se i tuoi pacchetti npm o le loro dipendenze hanno vulnerabilità note.
Esiste un progetto simile per .NET?
Sfortunatamente le scelte sono abbastanza limitate. Fatta eccezione per i normali strumenti FxCop che è possibile utilizzare, c'era anche un'implementazione OWASP chiamata SafeNuGet. Non l'ho usato da un po 'e vedo che l'ultimo aggiornamento è piuttosto vecchio.
Il paesaggio non è cambiato molto negli ultimi anni. L'unica cosa che ho visto è DevAudit. Ho sperimentato l'estensione Visual Studio , così come i suoi relativo di riga di comando associato , ma non sono stati spostati in avanti con l'utilizzo di entrambi.
Alcune delle vulnerabilità segnalate erano semplicemente sbagliate, ma anche quelle reali. Lo strumento da riga di comando era frustrante, in quanto non produceva dati strutturati facilmente utilizzabili in un'attività CI.
Nel regno commerciale, Black Duck dichiara di avere qualcosa di completo in questo spazio. Sembra davvero piuttosto costoso (chiama per i prezzi ...)