官方文档:Dependency-Track
官方说明:Dependency-Track是一个智能组件分析平台,允许组织识别和降低软件供应链中的风险。Dependency-Track通过利用软件材料清单(SBOM)的功能,采取了一种独特且非常有益的方法。这种方法提供了传统软件组合分析(SCA)解决方案无法实现的功能。Dependency-Track监控其投资组合中每个应用程序所有版本的组件使用情况,以便主动识别整个组织的风险。该平台采用API优先设计,非常适合在CI/CD环境中使用。
个人理解:开源第三方组件漏洞管理平台,通过维护一个漏洞库,再上传工程的bom.xml文件,检测工程中使用的第三方库漏洞,可以和一些CI/CD自动构建平台进行联动,如Jenkins。
cd /data/docker/
247 ll
248 docker search dependencytrack/bundled
249 docker pull dependencytrack/bundled
250 docker volume create --name dependency-track
251 docker images
252 docker ps -a
253 docker run -d -m 8192m -p 8080:8080 --name dependency-track -v dependency-track:/data dependencytrack/bundled
254 docker ps -a
255 route
256 route
257 netstat -an | grep 8080
258 docker ps
259 docker ps -a
执行上面命令即可安装成功,注意需要联网,如果没有网络 需要下载镜像拷贝到内网。
安装完成后,使用方式参考:Dependency Track搭建 - Yemoox - 博客园