Description

Las aplicaciones modernas aprovechan la disponibilidad de componentes existentes para su uso como bloques de construcción en el desarrollo de aplicaciones. Al utilizar los componentes existentes, las organizaciones pueden reducir drásticamente el tiempo de comercialización. Sin embargo, la reutilización de componentes existentes tiene un costo. Las organizaciones que se basan en componentes existentes asumen riesgos por software que no crearon. Las vulnerabilidades en componentes de terceros son heredadas por todas las aplicaciones que usan esos componentes. Los OWASP Top Ten (2013 y 2017) reconocen el riesgo de usar componentes con vulnerabilidades conocidas ....

Dependency-Track es una plataforma de análisis de composición de software (SCA) que realiza un seguimiento de todos los componentes de terceros utilizados en todas las aplicaciones que una organización crea o consume. Se integra con múltiples bases de datos de vulnerabilidades, incluida la Base de datos de vulnerabilidad nacional (NVD), la Plataforma de seguridad de nodos (NSP) y VulnDB de la Seguridad basada en riesgos. Dependency-Track supervisa todas las aplicaciones en su cartera para identificar proactivamente las vulnerabilidades en los componentes que ponen en riesgo sus aplicaciones.

Dependency-Track está diseñado para ser utilizado en un entorno DevOps automatizado donde los resultados de la verificación de dependencia o los formatos específicos de la lista de materiales (BOM) se ingieren automáticamente durante el CI / CD. El uso del complemento Jenkins de Dependency-Check es altamente recomendado para este propósito y es adecuado para su uso en Jenkins Pipeline. En un entorno de este tipo, Dependency-Track permite a sus equipos de DevOps acelerar al mismo tiempo que mantiene el control del uso de los componentes y cualquier riesgo heredado.

Dependency-Track también se puede usar para monitorear vulnerabilidades en el software COTS (comercial disponible en el mercado).

Categorías