Herramientas para verificar el riesgo de seguridad de las dependencias de código abierto

NOMBRE DESCRIPCION
Node Security Project (NSP) El NSP es conocido por su trabajo en módulos Node.js y dependencias NPM. También proporciona herramientas que buscan dependencias y encuentran vulnerabilidades utilizando bases de datos de vulnerabilidades públicas, como la base de datos nacional de vulnerabilidad (NVD) del NIST, así como su propia base de datos, que construye a partir de los escaneos que hace en los módulos de NPM.
RetireJS RetireJS es un verificador de dependencias de código abierto y específico de JavaScript. El proyecto se enfoca principalmente en la facilidad de uso. Es por eso que tiene múltiples componentes, incluido un escáner de línea de comandos y complementos para Grunt, Gulp, Chrome, Firefox, ZAP y Burp. RetireJS también puso a disposición de los desarrolladores de JS un servicio de verificación de sitios que desean saber si están utilizando una biblioteca de JavaScript con vulnerabilidades conocidas.
OSSIndex OSSIndex es compatible con varias tecnologías. Extrae información de dependencia de NPM, Nuget, Maven Central Repository, Bower, Chocolatey y MSI (lo que significa que cubre los ecosistemas JavaScript, .NET / C # y Java). OSSIndex también proporciona una API de vulnerabilidad de forma gratuita.
Dependency-check Dependency-check es una herramienta de línea de comandos de código abierto de OWASP que se mantiene muy bien. Se puede usar tanto en modo autónomo como en herramientas de compilación. Dependency-check es compatible con Java, .NET, JavaScript y Ruby. La herramienta recupera su información de vulnerabilidad estrictamente del NIST NVD.
Bundler-audit Bundler-audit es un comprobador de dependencias de línea de comandos de código abierto centrado en Ruby Bundler. Este proyecto recupera su información de vulnerabilidad de NIST NVD y RubySec, que es una base de datos de vulnerabilidades de Ruby.
Hakiri Hakiri es una herramienta comercial que ofrece comprobación de dependencia para proyectos basados en Ruby y Rails basados en análisis de código estático. Ofrece planes gratuitos para proyectos públicos de código abierto y planes pagados para proyectos privados. Utiliza NVD y la base de datos Ruby Advisory.
Snyk Snyk es un servicio comercial que se centra en las dependencias JavaScript npm. Nuevo en la escena, Snyk está en una liga propia. No solo ofrece herramientas para detectar vulnerabilidades conocidas en proyectos de JavaScript, sino que también ayuda a los usuarios a solucionar estos problemas utilizando actualizaciones guiadas y parches de código abierto que Snyk crea.
Gemnasium Gemnasium es una herramienta comercial con planes de inicio gratuitos. Gemnasium tiene su propia base de datos que se basa en varias fuentes. Sin embargo, aunque las vulnerabilidades se revisan manualmente a diario, los avisos no se publican automáticamente.
SRC:CLR Source Clear es una herramienta comercial con un par de atributos interesantes. Tiene su propia base de datos, que aprovecha el NIST NVD, pero también recupera información de vulnerabilidad de listas de correo y varias otras fuentes.