dependency-track v3.2.1版本:智能软件组合分析(SCA)平台
首页 > 安全    作者:stranger   2018年9月22日 17:00 星期六   热度:431°   百度已收录  
时间:2018-9-22 17:00   热度:431° 

现代应用程序利用现有组件的可用性作为应用程序开发的构建块。通过使用现有组件,组织可以大大缩短产品上市时间。然而,重用现有组件需要付出代价。构建在现有组件之上的组织会承担他们未创建的软件的风险。第三方组件中的漏洞由使用这些组件的所有应用程序继承。 OWASP十大(2013年和2017年)都认识到使用已知漏洞的组件的风险。
Dependency-Track是一个软件组合分析(SCA)平台,用于跟踪组织创建或使用的所有应用程序中使用的所有第三方组件。它集成了多个漏洞数据库,包括国家漏洞数据库(NVD),节点安全平台(NSP)和基于风险的安全性的VulnDB。 Dependency-Track监控其产品组合中的所有应用程序,以便主动识别使您的应用程序面临风险的组件中的漏洞。通过提供NIST网络安全框架中概述的许多建议,使用Dependency-Track可在整个供应链风险管理(SCRM)计划中发挥至关重要的作用。
Dependency-Track旨在用于自动DevOps环境,其中在CI / CD期间自动提取依赖关系检查结果或特定BOM(物料清单)格式。强烈建议使用Dependency-Check Jenkins插件用于此目的,非常适合在Jenkins管道中使用。在这样的环境中,Dependency-Track使您的DevOps团队能够加速,同时仍然关注组件使用和任何继承的风险。
Dependency-Track还可用于监控COTS(商业现货)软件中的漏洞。

特征
提高对易受攻击和过时组件使用的可见性
灵活的数据模型,支持无限数量的项目和组件
跟踪漏洞和继承风险
按组件
按项目
整个投资组合
跟踪过期组件的使用情况
包括用于分类结果的全面审核工作流程
支持Slack,Microsoft Teams,Webhooks和Email的可配置通知
支持标准化的SPDX许可证ID,并跟踪组件的许可证使用情况
支持CycloneDX和SPDX物料清单格式
易于阅读的组件,项目和组合指标
提供NVD数据馈送的可靠镜像
API优先设计便于与其他系统轻松集成
Swagger 2.0中提供的API文档(即将推出OpenAPI 3支持)
支持内部管理的用户,Active Directory / LDAP和API密钥
易于安装和配置。 只需几分钟即可启动并运行

生态系统概述1
仪表板:

2
所有项目的清单:

3
查看作为特定项目的依赖项的组件列表:

4
查看个别易受攻击的组件:

5
查看个别漏洞:

6
查看系统中的所有漏洞:

7
查看单个许可证:

8

二维码加载中...
本文作者:stranger      文章标题: dependency-track v3.2.1版本:智能软件组合分析(SCA)平台
本文地址:http://biocyborg.cn/dependency
版权声明:若无注明,本文皆为“biocyborg博客”原创,转载请保留文章出处。
正文到此结束



版权所有:biocyborg博客     ICP备案号:冀ICP备18028496号    本站在危难中运行: