person-walking-luggageDependances (iOS)

Avec accès au projet

Fichiers de dependency manager

  • Carthage: Cartfile.resolved.

  • CocoaPods: *.podspecouPodfile.lock

  • SwiftPM: Package.swiftouPackage.resolved

Avant d'exécuter l'analyse, obtenez une clé API NVD. Cette clé est utilisée pour récupérer les informations CVE les plus récentes. Vous pouvez demander la clé API pour accéder à l'API NVD à l'adresse https://nvd.nist.gov/developers/request-an-api-keyarrow-up-right.

$ dependency-check --enableExperimental -f SARIF --nvdApiKey <YOUR-API-KEY> -s Package.resolved
$ dependency-check --enableExperimental -f SARIF --nvdApiKey <YOUR-API-KEY> -s Podfile.lock
$ dependency-check --enableExperimental -f SARIF --nvdApiKey <YOUR-API-KEY> -s Cartfile.resolved
circle-info

Le résultat est toujours un fichier SARIF, qui peut être visualisé à l'aide du plugin Sarif viewer dans Visual Studio Code (vscode)arrow-up-right . Toutes les vulnérabilités connues seront listées avec leurs numéros CVE et leurs descriptions.

Analyse de SBOM

Aller à la racine du projet et utiliser la commande suivante:

$ cdxgen -o sbom.json

Utiliser ensuite un outil comme dependency-checkarrow-up-right (GUI) ou grypearrow-up-right (CLI) pour analyser le SBOM généré.

Exemple:

$ grype sbom:sbom.json

Sans accès au projet

Via Objection

Puis rechercher manuellement les CVE en fonction des versions.

Mis à jour