使用 conan audit 扫描依赖项

Conan 2.14 中新增了一个命令 conan audit。它提供了一种内置方式来扫描您的依赖项是否存在已知的 CVE。

有关身份验证、使用示例、输出格式以及设置私有提供程序的逐步指南，请参阅检查软件包漏洞。简而言之

1. 在 audit.conan.io 注册。

2. 通过您收到的确认电子邮件激活您的账户。

3. 保存您的令牌，该令牌在激活后显示在页面上。

4. 配置 Conan 以使用您的令牌:

conan audit provider auth conancenter --token=<token>

5. 运行扫描

# Check a specific reference
conan audit list zlib/1.2.13

# Scan the entire dependency graph
conan audit scan .  # Path to the conanfile.py/txt

此命令还支持使用您自己的 JFrog 平台作为漏洞扫描的私有提供程序。有关更多详细信息，请参阅添加私有提供程序部分。

另请参阅

• JFrog Academy Conan 2 要点：使用 Conan Audit 扫描 C++ 软件包中的漏洞

• 有关所有 conan audit 子命令及其选项的详细参考文档，请查阅conan audit 命令参考。

• 在专用的博客文章中阅读更多。