OWASP Dependency-Track
OWASP Dependency-Track
0
Бесплатное ПО
Открытый код
Категории:
Безопасность
Платформы:
Windows
Mac
Linux
Особенности:
software-security self-hosted software-composition-analysis appsec package-url owasp component-analysis manage-vulnerabilities спецификация программного обеспечения bom-management nvd дженкинс плагин sca обнаружение устаревших компонентов непрерывный компонентный анализ vulndb непрерывная интеграция bill-of-materials spdx обнаружение уязвимых компонентов security-utilities
software-security self-hosted software-composition-analysis appsec package-url owasp component-analysis manage-vulnerabilities спецификация программного обеспечения bom-management nvd дженкинс плагин sca обнаружение устаревших компонентов непрерывный компонентный анализ vulndb непрерывная интеграция bill-of-materials spdx обнаружение уязвимых компонентов security-utilities
Современные приложения используют доступность существующих компонентов для
использования в качестве строительных блоков при разработке приложений.
Используя существующие компоненты, организации могут значительно сократить
время выхода на рынок. Повторное использование существующих компонентов,
однако, обходится дорого. Организации, основанные на существующих компонентах,
несут риск для программного обеспечения, которое они не создавали. Уязвимости
в сторонних компонентах наследуются всеми приложениями, которые используют эти
компоненты. В десятке OWASP (2013 и 2017 годы) признается риск использования
компонентов с известными уязвимостями.
Dependency-Track - это платформа Software Composition Analysis (SCA), которая
отслеживает все сторонние компоненты, используемые во всех приложениях,
которые организация создает или использует. Он интегрируется с несколькими
базами данных об уязвимостях, включая Национальную базу данных уязвимостей
(NVD), Node Security Platform (NSP) и VulnDB от Risk Based Security.
Dependency-Track отслеживает все приложения в своем портфеле с целью
заблаговременного выявления уязвимостей в компонентах, которые подвергают ваши
приложения риску.
Dependency-Track предназначен для использования в автоматизированной среде
DevOps, где результаты проверки зависимостей или конкретные форматы
спецификации (ведомости материалов) автоматически принимаются во время CI /
CD. Для этой цели настоятельно рекомендуется использовать плагин Jenkins-
Check-Dependency-Check, который хорошо подходит для использования в Jenkins
Pipeline. В такой среде Dependency-Track позволяет вашим командам DevOps
ускоряться, сохраняя при этом отслеживание использования компонентов и любых
унаследованных рисков.
Dependency-Track также можно использовать для отслеживания уязвимостей в COTS
(коммерческом стандартном) программном обеспечении.
Аналоги (1):
-
FOSSA
Соответствие лицензии с открытым исходным кодом и анализ зависимостей1
Бесплатное ПОWebdependency-management software-licensing code-scanning license-manager license-compliance
