Dependency-Track
OWASP Dependency-Track es una plataforma inteligente para el Análisis de Componentes, incluido Software de Terceros. Permite a las organizaciones identificar y reducir riesgos en la cadena de suministro de software utilizando su capacidad para analizar una Lista de Materiales de Software (SBOM).
Dependency-Track es un proyecto Insignia (Flagship) de OWASP y puede instalarse utilizando un archivo docker-compose desde el sitio web de Dependency-Track.
¿Qué es Dependency-Track?
La herramienta Dependency-Track proporciona a una organización un dashboard para analizar, supervisar y controlar los componentes de todos sus proyectos. Realiza un seguimiento del uso de componentes en todas las aplicaciones del portafolio de una organización mediante el análisis de exportaciones de múltiples proyectos dentro de la organización, a través de SBOMs de CycloneDX y Vulnerability Exploitability Exchange.
Proporciona soporte completo para todo tipo de componentes, incluidos hardware y servicios. Dependency-Track identifica múltiples formas de riesgo, incluidos componentes con vulnerabilidades conocidas, mediante la integración con múltiples fuentes de inteligencia de vulnerabilidades como la Base de Datos Nacional de Vulnerabilidades (NVD), asesorías de seguridad de GitHub y otros.
Tiene soporte incorporado para varios tipos de repositorios, y proporcionará riesgo y cumplimiento para seguridad, riesgo y operaciones. Consulte la Documentación para obtener más información sobre las características proporcionadas por Dependency-Track.
¿Por qué usarlo?
Al aprovechar las capacidades de la Lista de Materiales de Software (SBOM), Dependency-Track proporciona funcionalidades que las soluciones tradicionales de Análisis de Composición de Software (SCA) difícilmente podrían lograr.
El dashboard de Dependency-Track tiene la capacidad de analizar todos los proyectos de software dentro de una organización. Se integra con numerosas plataformas de notificación, por ejemplo Slack y Microsoft Teams, y puede enviar resultados a varias herramientas de agregación de vulnerabilidades como DefectDojo o Fortify.
Dependency-Track es rico en funcionalidades, proporciona integraciones y características que la mayoría de las organizaciones necesitarán; consulte la Introducción a la Documentación para obtener una lista completa de estas características.
Cómo usarlo
La serie OWASP Spotlight proporciona una visión general del seguimiento de dependencias y la inspección de SBOMs utilizando Dependency-Track: 'Project 15 - OWASP Dependency-Track'.
Siga la guía de inicio para instalar la herramienta Dependency-Track, utilizando la implementación recomendada de un contenedor Docker.
Aunque Dependency-Track se ejecutará con su configuración predeterminada, debe configurarse según las necesidades específicas de la organización. El archivo de configuración de Dependency-Track es importante para ejecutar la herramienta de manera óptima, pero esto está fuera del alcance de la Guía del Desarrollador - consulte la documentación de Dependency-Track para obtener una guía paso a paso de este proceso de configuración.
Traducción de versión original en inglés.
La Guía del Desarrollador de OWASP es un esfuerzo comunitario; si hay algo que necesita cambiarse entonces cree un issue o edítelo en GitHub.