当我使用 Dependency-Check 运行扫描时,我得到了大量漏洞,请参见下面的示例,但是,当我使用 Trivy 运行扫描时,我只得到一个。单个漏洞是故意的 - 我去了 Trivy 的数据源页面并添加了一个有漏洞的包(否则 Trivy 报告零漏洞)。
依赖检查报告:
琐碎报告:
所以,我的问题是 - 为什么 Dependency-Check 报告了这么多漏洞?为什么 Trivy 报告较少?很想在我的组织中使用 Trivy,但我需要了解这种差异。
我的假设是...... Trivy 只使用 github 咨询页面作为数据源,而依赖检查使用的是 NVD?为什么不两者都用?咨询页面是否仅适用于也有修复的软件包?
任何反馈超级欢迎!