123
OWASP Dependency-Track

OWASP Dependency-Track

OWASP Dependency-Trackは、インテリジェントなソフトウェア構成分析(SCA)プラットフォームであり、サードパーティおよびオープンソースコンポーネントの使用によるリスクを特定して軽減することができます。
最新のアプリケーションは、既存のコンポーネントの可用性を活用して、アプリケーション開発のビルディングブロックとして使用します。既存のコンポーネントを使用することにより、組織は市場投入までの時間を大幅に短縮できます。ただし、既存のコンポーネントの再利用にはコストがかかります。既存のコンポーネントの上に構築する組織は、作成しなかったソフトウェアのリスクを負います。サードパーティのコンポーネントの脆弱性は、それらのコンポーネントを使用するすべてのアプリケーションに継承されます。OWASPトップ10(2013および2017)は、既知の脆弱性を持つコンポーネントを使用するリスクを認識します。組織が作成または消費します。National Vulnerability Database(NVD)、Node Security Platform(NSP)、およびRisk Based SecurityのVulnDBを含む複数の脆弱性データベースと統合します。Dependency-Trackは、ポートフォリオ内のすべてのアプリケーションを監視して、アプリケーションを危険にさらしているコンポーネントの脆弱性を積極的に特定します。Dependency-Trackは、Dependency-Checkの結果または特定のBOM(部品表)形式がCI / CD中に自動的に取り込まれる自動化されたDevOps環境で使用されるように設計されています。この目的には、Dependency-Check Jenkinsプラグインの使用を強くお勧めし、Jenkins Pipelineでの使用に適しています。このような環境では、Dependency-Trackを使用すると、DevOpsチームはコンポーネントの使用状況と継承されたリスクを常に把握しながら加速できます。Dependency-Trackは、COTS(市販の)ソフトウェアの脆弱性を監視するためにも使用できます。

ウェブサイト:

GitLab用のOWASP Dependency-Trackの代替ライセンス(無料ライセンス付き)