123
OWASP Dependency-Track

OWASP Dependency-Track

OWASP Dependency-Track est une plate-forme intelligente d'analyse de composition logicielle (SCA) qui permet aux organisations d'identifier et de réduire les risques liés à l'utilisation de composants tiers et open source.
Les applications modernes tirent parti de la disponibilité des composants existants à utiliser comme blocs de construction dans le développement d'applications.En utilisant des composants existants, les organisations peuvent réduire considérablement les délais de commercialisation.Cependant, la réutilisation des composants existants a un coût.Les organisations qui s'appuient sur des composants existants assument des risques pour les logiciels qu'elles n'ont pas créés.Les vulnérabilités des composants tiers sont héritées par toutes les applications qui utilisent ces composants.Les OWASP Top Ten (2013 et 2017) reconnaissent tous deux le risque d'utiliser des composants présentant des vulnérabilités connues .... Dependency-Track est une plate-forme d'analyse de composition logicielle (SCA) qui assure le suivi de tous les composants tiers utilisés dansl'organisation crée ou consomme.Il s'intègre à plusieurs bases de données de vulnérabilités, notamment la base de données nationale sur la vulnérabilité (NVD), la plateforme de sécurité Node (NSP) et VulnDB de Risk Based Security.Dependency-Track surveille toutes les applications de son portefeuille afin d'identifier de manière proactive les vulnérabilités des composants qui mettent vos applications en danger.Dependency-Track est conçu pour être utilisé dans un environnement DevOps automatisé où les résultats de Dependency-Check ou des formats de nomenclature spécifiques sont automatiquement ingérés pendant CI / CD.L'utilisation du plug-in Jenkins Dependency-Check est fortement recommandée à cet effet et convient parfaitement à Jenkins Pipeline.Dans un tel environnement, Dependency-Track permet à vos équipes DevOps d'accélérer tout en gardant un œil sur l'utilisation des composants et tout risque hérité.Dependency-Track peut également être utilisé pour surveiller les vulnérabilités des logiciels COTS (commerciaux standard).

Alternatives à OWASP Dependency-Track pour Docker avec licence gratuite