OWASP Dependency-Track

OWASP Dependency-Track

OWASP Dependency-Track je inteligentna platforma za analizo kompozicije programske opreme (SCA), ki omogoča organizacijam prepoznavanje in zmanjšanje tveganja zaradi uporabe komponent tretjih oseb in odprtokodnih komponent.
Sodobne aplikacije vplivajo na razpoložljivost obstoječih komponent za uporabo kot gradnike pri razvoju aplikacij.Z uporabo obstoječih komponent lahko organizacije drastično zmanjšajo čas prodaje na trgu.Ponovna uporaba obstoječih komponent pa prinaša stroške.Organizacije, ki gradijo na podlagi obstoječih komponent, prevzemajo tveganje za programsko opremo, ki je niso ustvarile.Ranljivosti v komponentah drugih proizvajalcev so podedovane z vsemi aplikacijami, ki uporabljajo te komponente.OWASP Top Ten (2013 in 2017) prepoznava tveganje za uporabo komponent z znanimi ranljivostmi .... Dependency-Track je platforma za analizo sestavka programske opreme (SCA), ki spremlja vse komponente drugih proizvajalcev, ki se uporabljajo v vseh aplikacijah.organizacija ustvarja ali porablja.Združuje se z več bazami podatkov o ranljivosti, vključno z nacionalno zbirko podatkov o ranljivosti (NVD), varnostno platformo vozlišča (NSP) in VulnDB iz varnostne varnosti.Dependency-Track spremlja vse aplikacije v svojem portfelju, da proaktivno prepozna ranljivosti komponent, ki ogrožajo vaše aplikacije.Dependency-Track je zasnovan tako, da se uporablja v samodejnem okolju DevOps, kjer se rezultati preverjanja odvisnosti ali posebni formati BOM (Bill of Material) samodejno zaužijejo med CI / CD.V ta namen je zelo priporočljiva uporaba čepa Jenkins Plugin, ki je zelo primeren za uporabo v Jenkins Pipeline.V takšnem okolju Dependency-Track vašim skupinam DevOps omogoča pospešitev, medtem ko še vedno vodi zaznamke o uporabi komponent in vseh podedovanih tveganj.Dependency-Track se lahko uporablja tudi za spremljanje ranljivosti v programski opremi COTS (komercialna zunanja polica).
owasp-dependency-track

Alternativa OWASP Dependency-Tracku za Azure DevOps