Dependances (iOS)

Avec accès au projet

Fichiers de dependency manager

Carthage: Cartfile.resolved.
CocoaPods: *.podspecouPodfile.lock
SwiftPM: Package.swiftouPackage.resolved

Avant d'exécuter l'analyse, obtenez une clé API NVD. Cette clé est utilisée pour récupérer les informations CVE les plus récentes. Vous pouvez demander la clé API pour accéder à l'API NVD à l'adresse https://nvd.nist.gov/developers/request-an-api-key.

$ dependency-check --enableExperimental -f SARIF --nvdApiKey <YOUR-API-KEY> -s Package.resolved
$ dependency-check --enableExperimental -f SARIF --nvdApiKey <YOUR-API-KEY> -s Podfile.lock
$ dependency-check --enableExperimental -f SARIF --nvdApiKey <YOUR-API-KEY> -s Cartfile.resolved

Le résultat est toujours un fichier SARIF, qui peut être visualisé à l'aide du plugin Sarif viewer dans Visual Studio Code (vscode) . Toutes les vulnérabilités connues seront listées avec leurs numéros CVE et leurs descriptions.

Analyse de SBOM

Aller à la racine du projet et utiliser la commande suivante:

$ cdxgen -o sbom.json

Utiliser ensuite un outil comme dependency-check (GUI) ou grype (CLI) pour analyser le SBOM généré.

Exemple:

$ grype sbom:sbom.json

Sans accès au projet

Via Objection

$ objection -g com.target.xyz explore
# ios bundles list_bundles
# ios bundles list_frameworks

Puis rechercher manuellement les CVE en fonction des versions.

PrécédentFirebase misc SuivantPentest physique

Mis à jour il y a 19 jours

hashtagAvec accès au projet

hashtagFichiers de dependency manager

hashtagAnalyse de SBOM

hashtagSans accès au projet

hashtagVia Objection

Avec accès au projet

Fichiers de dependency manager

Analyse de SBOM

Sans accès au projet

Via Objection