OWASP Dependency-Track

OWASP Dependency-Track是一个智能的软件组成分析（SCA）平台，它使组织可以识别和减少使用第三方和开源组件的风险。

免费应用
Self-Hosted
Windows
Mac
Linux

现代应用程序利用现有组件的可用性来用作应用程序开发中的构建块。通过使用现有组件，组织可以大大缩短产品上市时间。但是，重复使用现有组件需要付出一定的代价。在现有组件之上构建的组织将承担未创建的软件的风险。第三方组件中的漏洞由使用这些组件的所有应用程序继承。OWASP的前十名（2013年和2017年）都认识到使用具有已知漏洞的组件的风险。组织创造或消费。它与多个漏洞数据库集成在一起，包括国家漏洞数据库（NVD），节点安全平台（NSP）和来自基于风险的安全性的VulnDB。Dependency-Track监视其产品组合中的所有应用程序，以便主动识别正在使您的应用程序面临风险的组件中的漏洞。Dependency-Track旨在用于自动DevOps环境中，在CI / CD期间会自动提取Dependency-Check结果或特定的BOM（物料清单）格式。为此，强烈建议使用Dependency-Check Jenkins插件，非常适合在Jenkins Pipeline中使用。在这样的环境中，Dependency-Track使您的DevOps团队能够在保持对组件使用情况和任何继承风险进行监控的同时加速发展。依赖关系跟踪还可用于监视COTS（现成的商用）软件中的漏洞。

owasp-dependency-track