Verwaltetes Dependency-Track

Was ist Dependency-Track?

Dependency-Track ist eine OWASP-Flaggschiff-Plattform für die Sicherheit der Software-Lieferkette. Sie verarbeitet SBOMs und überwacht Ihre Komponenten fortlaufend auf bekannte Schwachstellen, veraltete Bibliotheken und Lizenzrisiken, auch noch lange nach der Auslieferung eines Builds.

Anwendungsfälle

• →Risikomanagement der Software-Lieferkette nach NIS2 und DORA
• →Kontinuierliche SBOM-Überwachung nach dem Release
• →Lizenz-Compliance über alle Anwendungsabhängigkeiten
• →Ergänzung zu DefectDojo für lückenlose Schwachstellenabdeckung

Funktionen

• SBOM-Verarbeitung (CycloneDX, SPDX)
• Kontinuierliche Schwachstellenüberwachung von Komponenten
• Verfolgung von Lizenzrisiken und Richtlinienverstößen
• Daten aus NVD, OSV und GitHub Advisories
• Richtlinien-Engine für Sicherheits- und Lizenz-Gates
• REST-API und Integration in CI/CD-Pipelines
• Risikobewertung und Dashboards pro Projekt
• Übergibt Ergebnisse an DefectDojo