使用 conan audit 扫描依赖项

一个新的命令 conan audit 已在 Conan 2.14 中添加。它提供了一种内置方式来扫描您的依赖项以查找已知 CVE

有关身份验证、使用示例、输出格式以及设置私有提供商的分步指南,请参阅检查软件包漏洞。简而言之

  1. audit.conan.io 注册

  2. 通过您收到的确认邮件激活您的账户

  3. 保存您的令牌,它在激活后显示在页面上。

  4. 配置 Conan 使用您的令牌:

conan audit provider auth conancenter --token=<token>
  1. 运行扫描

# Check a specific reference
conan audit list zlib/1.2.13

# Scan the entire dependency graph
conan audit scan .  # Path to the conanfile.py/txt

此命令还支持使用您自己的 JFrog Platform 作为漏洞扫描的私有提供商。有关更多详细信息,请参阅添加私有提供商部分。

另请参阅