1
OWASP Dependency-Track
OWASP Dependency-Track é uma plataforma inteligente de Análise de Composição de Software (SCA) que permite que as organizações identifiquem e reduzam os riscos do uso de componentes de terceiros e de código aberto.
- Grátis
- Self-Hosted
- Windows
- Mac
- Linux
Os aplicativos modernos aproveitam a disponibilidade dos componentes existentes para serem usados como blocos de construção no desenvolvimento de aplicativos.Ao usar componentes existentes, as organizações podem diminuir drasticamente o tempo de colocação no mercado.Reutilizar componentes existentes, no entanto, tem um custo.As organizações criadas com base nos componentes existentes assumem riscos pelo software que não criaram.Vulnerabilidades em componentes de terceiros são herdadas por todos os aplicativos que usam esses componentes.Os dez principais da OWASP (2013 e 2017) reconhecem o risco de usar componentes com vulnerabilidades conhecidas.organização cria ou consome.Ele se integra a vários bancos de dados de vulnerabilidades, incluindo o NVD (National Vulnerability Database), o NSP (Node Security Platform) e o VulnDB da Risk Based Security.O Rastreamento de Dependências monitora todos os aplicativos em seu portfólio para identificar proativamente as vulnerabilidades nos componentes que estão colocando seus aplicativos em risco.O Dependency-Track foi desenvolvido para ser usado em um ambiente automatizado de DevOps, em que os resultados da Verificação de Dependência ou formatos específicos de BOM (Lista de Materiais) são ingeridos automaticamente durante o IC / CD.O uso do plug-in Jenkins de verificação de dependência é altamente recomendado para esse fim e é adequado para uso no pipeline Jenkins.Nesse ambiente, o Dependency-Track permite que suas equipes de DevOps acelerem enquanto mantém controle sobre o uso de componentes e qualquer risco herdado.O Dependency-Track também pode ser usado para monitorar vulnerabilidades no software COTS (comercial de prateleira).