Estoy trabajando en un par de grandes aplicaciones web .NET y me gustaría auditar los paquetes utilizados en ellas. Para proyectos de nodo he usado nsp audit . Esto verifica si sus paquetes npm o sus dependencias tienen alguna vulnerabilidad conocida.
¿Hay un proyecto similar para .NET?
Lamentablemente las opciones son bastante limitadas. Excepto por las herramientas normales de FxCop que puede usar, también hubo una implementación de OWASP llamada SafeNuGet. No lo he usado en bastante tiempo y veo que la última actualización es bastante antigua.
El paisaje no ha cambiado mucho en los últimos años. Lo único que he visto es DevAudit. He experimentado con la extensión de Visual Studio , así como su utilidad de línea de comandos relacionada , pero no ha avanzado con el uso de ninguno de los dos.
Algunas de las vulnerabilidades que reportó parecían estar mal, pero también surgieron las reales. La herramienta de línea de comandos fue frustrante, ya que no produjo datos estructurados que se pudieran utilizar fácilmente en una tarea de CI.
En el ámbito comercial, Black Duck afirman tener algo completo en este espacio. Sin embargo, parece realmente bastante caro (llame para precios ...)