123
OWASP Dependency-Track

OWASP Dependency-Track

OWASP Dependency-Track es una plataforma inteligente de análisis de composición de software (SCA) que permite a las organizaciones identificar y reducir el riesgo del uso de componentes de terceros y de código abierto.
Las aplicaciones modernas aprovechan la disponibilidad de componentes existentes para su uso como bloques de construcción en el desarrollo de aplicaciones.Mediante el uso de componentes existentes, las organizaciones pueden disminuir drásticamente el tiempo de comercialización.Sin embargo, la reutilización de componentes existentes tiene un costo.Las organizaciones que se basan en componentes existentes asumen riesgos para el software que no crearon.Todas las aplicaciones que usan esos componentes heredan las vulnerabilidades en los componentes de terceros.Los OWASP Top Ten (2013 y 2017) reconocen el riesgo de usar componentes con vulnerabilidades conocidas ... Dependency-Track es una plataforma de Análisis de Composición de Software (SCA) que realiza un seguimiento de todos los componentes de terceros utilizados en todas las aplicaciones yLa organización crea o consume.Se integra con múltiples bases de datos de vulnerabilidades, incluida la Base de datos nacional de vulnerabilidades (NVD), la Plataforma de seguridad de nodos (NSP) y VulnDB de Seguridad basada en riesgos.Dependency-Track supervisa todas las aplicaciones de su cartera para identificar de manera proactiva las vulnerabilidades en los componentes que ponen en riesgo sus aplicaciones.Dependency-Track está diseñado para usarse en un entorno DevOps automatizado donde los resultados de Dependency-Check o formatos específicos de lista de materiales (BOM) se ingieren automáticamente durante CI / CD.El uso del complemento Jenkins Dependency-Check es muy recomendable para este propósito y es muy adecuado para su uso en Jenkins Pipeline.En dicho entorno, Dependency-Track permite que sus equipos de DevOps aceleren sin dejar de controlar el uso de componentes y cualquier riesgo heredado.Dependency-Track también se puede usar para monitorear vulnerabilidades en el software COTS (comercial listo para usar).

Alternativas a OWASP Dependency-Track para Azure DevOps con licencia de código abierto