OWASP Dependency-Track

OWASP Dependency-Track

OWASP Dependency-Track je inteligentná platforma pre analýzu zloženia softvéru (SCA), ktorá organizáciám umožňuje identifikovať a znižovať riziká spojené s používaním komponentov tretích strán a otvorených zdrojov.
Moderné aplikácie využívajú dostupnosť existujúcich komponentov na použitie ako stavebných prvkov pri vývoji aplikácií.Použitím existujúcich komponentov môžu organizácie výrazne skrátiť čas uvedenia na trh.Opätovné použitie existujúcich komponentov však stojí za to.Organizácie, ktoré stavajú na existujúcich komponentoch, preberajú riziko pre softvér, ktorý nevytvorili.Zraniteľnosti v súčasti tretích strán sú zdedené všetkými aplikáciami, ktoré tieto komponenty používajú.OWASP Top Ten (2013 a 2017) uznávajú riziko používania komponentov so známymi zraniteľnými vlastnosťami .... Dependency-Track je platforma Software Composition Analysis (SCA), ktorá sleduje všetky komponenty tretích strán používané vo všetkých aplikáciách aorganizácia vytvára alebo spotrebúva.Integruje sa do viacerých databáz zraniteľností vrátane Národnej databázy zraniteľností (NVD), Node Security Platform (NSP) a VulnDB od Risk Based Security.Dependency-Track monitoruje všetky aplikácie vo svojom portfóliu, aby aktívne identifikoval zraniteľné miesta v komponentoch, ktoré ohrozujú vaše aplikácie.Dependency-Track je navrhnutý na použitie v automatizovanom prostredí DevOps, kde sa počas CI / CD automaticky prijímajú výsledky kontroly závislosti alebo konkrétne formáty kusovníka (kusovník).Na tento účel sa dôrazne odporúča použitie doplnku Jenkins Plugin na kontrolu závislosti a je veľmi vhodné na použitie v potrubí Jenkins.V takomto prostredí funkcia Dependency-Track umožňuje vašim tímom DevOps zrýchľovať sa, pričom si stále uchováva prehľad o používaní komponentov a akýchkoľvek zdedených rizikách.Dependency-Track sa dá použiť aj na monitorovanie zraniteľností v softvéri COTS (komerčný softvér na objednávku).
owasp-dependency-track

Alternatívy programu OWASP Dependency-Track pre Web s licenciou s otvoreným zdrojom