OWASP Dependency-Track

OWASP Dependency-Track

OWASP Dependency-Track je inteligentní platforma pro analýzu složení softwaru (SCA), která organizacím umožňuje identifikovat a snižovat riziko z používání komponent třetích stran a open source.
Moderní aplikace využívají dostupnosti existujících komponent pro použití jako stavební kameny při vývoji aplikací.Použitím stávajících komponent mohou organizace výrazně zkrátit dobu uvedení na trh.Opětovné použití stávajících komponentů však stojí za to.Organizace, které staví na existujících komponentách, riskují software, který nevytvořily.Zranitelnosti součástí třetích stran jsou zděděny všemi aplikacemi, které tyto komponenty používají.OWASP Top Ten (2013 a 2017) uznávají riziko použití komponent se známými zranitelnostmi .... Dependency-Track je platforma Software Composition Analysis (SCA), která sleduje všechny komponenty třetích stran používané ve všech aplikacích aorganizace vytváří nebo spotřebovává.Integruje se s několika databázemi zranitelností, včetně Národní databáze zranitelností (NVD), Node Security Platform (NSP) a VulnDB z Risk Based Security.Dependency-Track sleduje všechny aplikace ve svém portfoliu, aby aktivně identifikoval zranitelnosti v součástech, které ohrožují vaše aplikace.Dependency-Track je navržen pro použití v automatizovaném prostředí DevOps, kde se během CI / CD automaticky přijímají výsledky kontroly závislosti nebo specifické formáty kusovníku (Bill of Material).Pro tento účel je vysoce doporučeno použití pluginu Jenkins Plugin pro kontrolu závislosti a je velmi vhodné pro použití v potrubí Jenkins.V takovém prostředí Dependency-Track umožňuje týmům DevOps akcelerovat a přitom si ponechat přehled o využití komponent a jakémkoli zděděném riziku.Dependency-Track lze také použít ke sledování zranitelnosti v softwaru COTS (komerční off-the-shelf).
owasp-dependency-track

Webová stránka:

Alternativy OWASP Dependency-Track pro všechny platformy s jakoukoli licencí

WhiteSource

WhiteSource

WhiteSource umožňuje podnikům vyvíjet lepší software využíváním síly open source.
Black Duck Software

Black Duck Software

Organizace na celém světě používají produkty Black Duck k zabezpečení a správě softwaru s otevřeným zdrojovým kódem, což eliminuje bolest související s zranitelností zabezpečení open source a dodržováním licencí s otevřeným zdrojovým kódem..