Dependency-Track
功能
消耗并生成CycloneDX软件物料清单 (SBOM)
消耗并生成CycloneDX 漏洞利用交换 (VEX)
组件支持:
- 应用
- 图书馆
- 框架
- 操作系统
- 容器
- 固件
- 文件
- 硬件
- 服务
跟踪组织产品组合中每个应用程序的组件使用情况
快速识别受影响的内容和位置
识别多种形式的风险,包括
存在已知漏洞的组件
过时的组件
修改组件
牌照风险
与多种漏洞情报来源集成,包括:
通过整合对漏洞预测评分系统 (EPSS) 的支持,帮助确定缓解措施的优先顺序
维护漏洞组件的私有漏洞数据库
强大的策略引擎,支持全局和每个项目的策略
安全风险与合规性
许可风险与合规性
运营风险与合规
生态系统无关,具有内置存储库支持:
- Cargo (Rust)
- Composer (PHP)
- Gems (Ruby)
- Hex (Erlang/Elixir)
- Maven (Java)
- NPM (Javascript)
- CPAN (Perl)
- NuGet (.NET)
- PyPI (Python)
识别 API 和外部服务组件,包括:
- 服务提供商
- 端点 URI
- 数据分类
- 数据定向流
- 信任边界穿越
- 身份验证要求
包括对分类结果进行全面的审计工作流程
可配置通知支持 Slack、Microsoft Teams、Mattermost、Webhooks、Webex、电子邮件和 Jira
支持标准化 SPDX 许可证 ID 并跟踪组件的许可证使用情况
易于阅读的组件、项目和投资组合指标
本机支持 Kenna Security、Fortify SSC、ThreadFix 和 DefectDojo
API 优先的设计有利于与其他系统轻松集成
OpenAPI 格式的 API 文档
OAuth 2.0 + OpenID Connect (OIDC) 支持单点登录 (authN/authZ)
支持内部管理用户、Active Directory/LDAP 和 API 密钥
安装和配置简单。只需几分钟即可启动并运行
快速入门 (Docker Compose)
# Downloads the latest Docker Compose file
curl -LO https://dependencytrack.org/docker-compose.yml
# Starts the stack using Docker Compose
docker-compose up -d快速入门(Docker Swarm)
# Downloads the latest Docker Compose file
curl -LO https://dependencytrack.org/docker-compose.yml
# Initializes Docker Swarm (if not previously initialized)
docker swarm init
# Starts the stack using Docker Swarm
docker stack deploy -c docker-compose.yml dtrack快速启动(手动执行)
# Pull the image from the Docker Hub OWASP repo
docker pull dependencytrack/bundled
# Creates a dedicated volume where data can be stored outside the container
docker volume create --name dependency-track
# Run the bundled container with 8GB RAM on port 8080
docker run -d -m 8192m -p 8080:8080 --name dependency-track -v dependency-track:/data dependencytrack/bundled注意:在生产中始终使用官方二进制版本。
作者:Jeebiz 创建时间:2025-03-06 20:00
最后编辑:Jeebiz 更新时间:2025-03-07 15:41
最后编辑:Jeebiz 更新时间:2025-03-07 15:41
