实例介绍
【实例简介】
依赖追踪是一款智能组件分析平台,可帮助组织在软件供应链中识别和降低风险。通过使用软件材料清单(SBOM)的能力,依赖追踪采取了一种独特而极具益处的方法。该平台具有API优先设计,并且非常适合在CI / CD环境中使用。它可以监视其投资组合中每个应用程序的所有版本中的组件使用情况,以主动识别整个组织中的风险。此平台可消费和生成CycloneDX软件材料清单(SBOM)。它还可消费和生成CycloneDX漏洞利用交换(VEX)。此外,还支持以下组件:应用程序、库、框架、操作系统、容器、固件、文件、硬件和服务。它还可以跟踪每个应用程序中使用的组件,快速识别受影响的内容以及受影响的位置。同时,它能够识别多种形式的风险,包括已知漏洞、过时的组件、修改的组件、许可证风险等。它还集成了多个漏洞情报来源,例如国家漏洞数据库(NVD)、GitHub建议、Sonatype OSS Index、Snyk、OSV、基于风险的安全性的VulnDB等。此外,它还支持预测利用评分系统(EPSS),帮助优先处理缓解措施。此平台还具有支持全局和项目级策略的强大策略引擎,包括安全风险和合规性、授权风险和合规性、运营风险和合规性等。其生态系统对存储库支持不亚于其他平台,包括Cargo(Rust)、Composer(PHP)、Gems(Ruby)、Hex(Erlang / Elixir)、Maven(Java)、NPM(Javascript)、CPAN(Perl)、NuGet(.NET)和Pypi(Python)。它可以识别API和外部服务组件,包括服务提供商、端点URI、数据分类、数据的方向流动、信任边界穿越、身份验证要求等。此平台还包括用于审核结果的全面工作流程,支持Slack、Microsoft Teams、Mattermost、Webhooks、Webex、电子邮件和Jira等可配置通知,并支持SPDX许可证标识的标准化,以及跟踪组件的许可证使用情况。它易于阅读的组件、项目和投资组合的指标,原生支持Kenna Security、Fortify SSC、ThreadFix和DefectDojo等平台,具有API优先设计,易于与其他系统集成。OAuth 2.0 OpenID Connect(OIDC)支持单点登录(authN / authZ),支持内部管理用户、Active Directory / LDAP和API密钥。快速启动(Docker Compose):#下载最新的Docker Compose文件curl -LO https://dependencytrack.org/docker-compose.yml#使用Docker Compose启动堆栈docker-compose up -d快速入门(Docker Swarm):#下载最新的Docker Compose文件curl -LO https://dependencytrack.org/docker-compose.yml#初始化Docker Swarm(如果尚未初始化)docker swarm init#使用Docker Swarm启动堆栈docker stack deploy -c docker-compose.yml dtrack快速入门(手动执行):#从Docker Hub OWASP存储库中提取映像docker pull dependencytrack / bundled#创建一个专用卷,其中数据可以在容器之外存储docker volume create --name dependency-track#使用8GB RAM在端口8080上运行捆绑的容器docker run -d -m 8192m -p 8080:8080 --name dependency-track -v dependency-track:/data dependencytrack / bundled
【实例截图】
【核心代码】
依赖追踪是一款智能组件分析平台,可帮助组织在软件供应链中识别和降低风险。通过使用软件材料清单(SBOM)的能力,依赖追踪采取了一种独特而极具益处的方法。该平台具有API优先设计,并且非常适合在CI / CD环境中使用。它可以监视其投资组合中每个应用程序的所有版本中的组件使用情况,以主动识别整个组织中的风险。此平台可消费和生成CycloneDX软件材料清单(SBOM)。它还可消费和生成CycloneDX漏洞利用交换(VEX)。此外,还支持以下组件:应用程序、库、框架、操作系统、容器、固件、文件、硬件和服务。它还可以跟踪每个应用程序中使用的组件,快速识别受影响的内容以及受影响的位置。同时,它能够识别多种形式的风险,包括已知漏洞、过时的组件、修改的组件、许可证风险等。它还集成了多个漏洞情报来源,例如国家漏洞数据库(NVD)、GitHub建议、Sonatype OSS Index、Snyk、OSV、基于风险的安全性的VulnDB等。此外,它还支持预测利用评分系统(EPSS),帮助优先处理缓解措施。此平台还具有支持全局和项目级策略的强大策略引擎,包括安全风险和合规性、授权风险和合规性、运营风险和合规性等。其生态系统对存储库支持不亚于其他平台,包括Cargo(Rust)、Composer(PHP)、Gems(Ruby)、Hex(Erlang / Elixir)、Maven(Java)、NPM(Javascript)、CPAN(Perl)、NuGet(.NET)和Pypi(Python)。它可以识别API和外部服务组件,包括服务提供商、端点URI、数据分类、数据的方向流动、信任边界穿越、身份验证要求等。此平台还包括用于审核结果的全面工作流程,支持Slack、Microsoft Teams、Mattermost、Webhooks、Webex、电子邮件和Jira等可配置通知,并支持SPDX许可证标识的标准化,以及跟踪组件的许可证使用情况。它易于阅读的组件、项目和投资组合的指标,原生支持Kenna Security、Fortify SSC、ThreadFix和DefectDojo等平台,具有API优先设计,易于与其他系统集成。OAuth 2.0 OpenID Connect(OIDC)支持单点登录(authN / authZ),支持内部管理用户、Active Directory / LDAP和API密钥。快速启动(Docker Compose):#下载最新的Docker Compose文件curl -LO https://dependencytrack.org/docker-compose.yml#使用Docker Compose启动堆栈docker-compose up -d快速入门(Docker Swarm):#下载最新的Docker Compose文件curl -LO https://dependencytrack.org/docker-compose.yml#初始化Docker Swarm(如果尚未初始化)docker swarm init#使用Docker Swarm启动堆栈docker stack deploy -c docker-compose.yml dtrack快速入门(手动执行):#从Docker Hub OWASP存储库中提取映像docker pull dependencytrack / bundled#创建一个专用卷,其中数据可以在容器之外存储docker volume create --name dependency-track#使用8GB RAM在端口8080上运行捆绑的容器docker run -d -m 8192m -p 8080:8080 --name dependency-track -v dependency-track:/data dependencytrack / bundled
【实例截图】
【核心代码】
标签:
好例子网口号:伸出你的我的手 — 分享!
小贴士
感谢您为本站写下的评论,您的评论对其它用户来说具有重要的参考价值,所以请认真填写。
- 类似“顶”、“沙发”之类没有营养的文字,对勤劳贡献的楼主来说是令人沮丧的反馈信息。
- 相信您也不想看到一排文字/表情墙,所以请不要反馈意义不大的重复字符,也请尽量不要纯表情的回复。
- 提问之前请再仔细看一遍楼主的说明,或许是您遗漏了。
- 请勿到处挖坑绊人、招贴广告。既占空间让人厌烦,又没人会搭理,于人于己都无利。
关于好例子网
本站旨在为广大IT学习爱好者提供一个非营利性互相学习交流分享平台。本站所有资源都可以被免费获取学习研究。本站资源来自网友分享,对搜索内容的合法性不具有预见性、识别性、控制性,仅供学习研究,请务必在下载后24小时内给予删除,不得用于其他任何用途,否则后果自负。基于互联网的特殊性,平台无法对用户传输的作品、信息、内容的权属或合法性、安全性、合规性、真实性、科学性、完整权、有效性等进行实质审查;无论平台是否已进行审查,用户均应自行承担因其传输的作品、信息、内容而可能或已经产生的侵权或权属纠纷等法律责任。本站所有资源不代表本站的观点或立场,基于网友分享,根据中国法律《信息网络传播权保护条例》第二十二与二十三条之规定,若资源存在侵权或相关问题请联系本站客服人员,点此联系我们。关于更多版权及免责申明参见 版权及免责申明
网友评论
我要评论