使用 conan audit 扫描依赖关系

在 Conan 2.14 中添加了一个新命令 conan audit。它提供了一种内置方式来扫描依赖关系以查找已知 CVE。

有关身份验证、使用示例、输出格式以及设置私有提供程序的逐步指南，请参阅 检查软件包漏洞。简而言之

1. 在 audit.conan.io 注册

2. 保存令牌 并通过收到的确认邮件激活它。

3. 配置 Conan 使用您的令牌:

conan audit provider auth conancenter --token=<token>

4. 运行扫描

# Check a specific reference
conan audit list zlib/1.2.13

# Scan the entire dependency graph
conan audit scan .  # Path to the conanfile.py/txt

此命令还支持使用您自己的 JFrog Platform 作为漏洞扫描的私有提供程序。有关更多详细信息，请参阅 添加私有提供程序 部分。

另请参阅

• 有关所有 conan audit 子命令及其选项的详细参考文档，请查阅 conan audit 命令参考。

• 阅读更多关于这篇专门的 博客文章。