软件简介

vulnerability-assessment-tool 是一个软件组合分析（SCA）工具，它扫描 Java 和 Python
应用软件包中的直接依赖项和间接依赖项，检测出已知漏洞。

特性如下：

• 通过查找 Java 文件中的方法签名并将其源码与字节码对比漏洞版本和修复版本，实现对漏洞代码的检测。
• 通过关于漏洞代码的潜在和实际执行信息，应用开发人员和安全专家对存在漏洞的依赖项进行评估。
• 向已知漏洞库添加新漏洞不需要重新扫描应用程序。
• 给出缓解漏洞建议，通过计算多个指标，开发人员可以选择漏洞依赖的最佳非漏洞替代品。
• 如果开发人员得出的结论是在给定的应用程序上下文中无法利用漏洞，那么可以不必进行单独的分析。
• 组织内部 CERT 可以查询受相关漏洞影响的所有应用。