质量工具系列之Dependency-Track

于 2024-05-29 10:04:33 发布
阅读量606 收藏 4
点赞数 7
分类专栏: 杂项 文章标签: dpendencyTrack dependency owasp 依赖 composer npm 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/made4971/article/details/139268607
版权

项目开发中依赖了很多第三方开源工具,对于其版本,漏洞等因为时间或者是数量太多而无法关注到,Dependency-Track解决这些问题。
Dependency-Track 是一个开源组件分析平台,是开放网络应用安全项目(OWASP)的一项倡议。它旨在持续提供对应用程序组件及其相关风险的可见性。该工具帮助开发团队识别、管理和减少由第三方和内部组件引入的风险。

安装

docker-compose(推荐)

打开连接https://dependencytrack.org/docker-compose.yml,复制其中内容到已有的docker-compose.yml中

dtrack-apiserver:

添加container_name: dtrack-apiserver
在environment块下添加

  - ALPINE_DATABASE_MODE=external
  - ALPINE_DATABASE_URL=jdbc:mysql://localhost:3306/dtrack?autoReconnect=true&useSSL=false&sessionVariables=sql_mode='ANSI_QUOTES,STRICT_TRANS_TABLES,ONLY_FULL_GROUP_BY,ERROR_FOR_DIVISION_BY_ZERO,NO_AUTO_CREATE_USER,NO_ENGINE_SUBSTITUTION'
  - ALPINE_DATABASE_DRIVER=com.mysql.cj.jdbc.Driver
  - ALPINE_DATABASE_USERNAME=root
  - ALPINE_DATABASE_PASSWORD=mysqlpassword

我这里使用的mysql8
数据库配置可参考

volumes改为

volumes:
      - ./dependency-track:/data
dtrack-frontend:

添加container_name: dtrack-frontend
environment:下

- API_BASE_URL=http://ip:8081  #改为实际地址

保存后使用以下命令进行启停

docker-compose down
docker-compose up -d

需要注意: 对于两个服务的端口需要确认,防止和现有的业务端口冲突

其他安装方式

可参考 https://github.com/DependencyTrack/dependency-track

生成报告

  1. 登录http://ip:8082/login,默认初始账户和密码是 admin / admin
  2. 创建项目
  3. 进入项目 - 成分 - 上传SBOM,选择已经生成的sbom.xml(生成参考附录)文件,稍等一会后刷新页面,即可看到结果
    在这里插入图片描述

相关内容

sbom文件生成

以上只是简单的了解dtrack其用途和作用,更多功能需要去深入探索。

sujrex
关注
  • 7
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Dependency Track:智能组件分析平台。
代码讲故事
12-27 1201
Dependency Track:智能组件分析平台。Dependency-Track是一个智能的组件分析平台,可以帮助组织识别和减少软件供应链中的风险。Dependency-Track采用了一种独特而极具益处的方法,利用了软件材料清单(SBOM)的功能。这种方法提供了传统软件组成分析(SCA)解决方案无法实现的功能。
Dependency Walker资源】Dependency Walker 是一个免费的模块依赖性分析工具
最新发布
03-05
资源介绍:Dependency Walker(依赖项查看器)是一款强大而实用的免费模块依赖性分析工具,专为Windows系统打造,旨在帮助开发者和系统管理员轻松解析和查看应用程序或DLL文件的依赖关系。 Dependency Walker通过直观的图形界面,展示了目标文件所依赖的所有模块,包括DLLs、EXEs、OCXs等。用户只需将目标文件拖入程序界面,即可立即查看其依赖关系树。此外,Dependency Walker还提供了详细的错误报告,帮助用户快速定位并解决依赖项缺失或版本冲突等问题。 这款工具不仅适用于软件开发人员,在排查系统问题、优化软件部署等方面也发挥着重要作用。通过Dependency Walker,用户可以深入了解应用程序的依赖关系,从而确保软件在目标系统上顺利运行。 值得一提的是,Dependency Walker是一款完全免费的工具,无需注册或激活,即可享受其全部功能。此外,它还支持多种Windows版本,具有良好的兼容性和稳定性。
Dependency-Track使用
weixin_61856963的博客
06-02 3116
这里有必要说一下,通过访问 Dependency-Track API 创建扫描任务时,需要向接口发送一个包含项目元信息的 json 格式的文件,这个文件需要包含的元素有:项目名称、项目版本号,以及作为字符串值出现的经过 BASE64 编码后的 SBOM 文件的内容。答:主要原因是对于 Dependency-Track 来说,我觉得使用 Docker 部署并没有明显的优势,自定义设置会变得更加复杂,硬件配置需求也更高,而且我对于 Docker 的操作也不够熟练,整体只会花费更多不必要的时间。
Dependency-track -(1)安装
wanwan的博客
09-06 1711
一、安装/初始化 首先在拉取的时候就出现了问题。 官方文档提供了3种方式: Quickstart (Docker Compose) # Downloads the latest Docker Compose file curl -LO https://dependencytrack.org/docker-compose.yml # Starts the stack using Docker Compose docker-compose up -d Quickstart (Docker Swa
dependency walker工具简介及使用
FreeLikeTheWind的博客
02-28 2万+
dependency walker工具简介及使用
依赖库查询工具-Dependencies
thisiszdy的博客
05-05 814
Dependencies
【转】maven+dependency tracking 利用pom.xml快速的生成bom文件
WangYouJin321的博客
10-13 2372
但在Java项目里,只有pom.xml文件,如何把利用pom.xml快速的生成bom文件,则成了如何帅气使用dependency Track的重要问题。在dependencyTrackBaseUrl条目中加入你的dependencyTrack地址,也就是你的访问URL,apikey条目中加入你的apikey,可在你的后台获取,注意这个apikey需要有添加权限,我这里直接给的最高的,避免出现未知情况。如果你的pom.xml文件中没有私有仓库地址,就可以运行命令进行生成bom文件,然后上传。
azure-pipelines-dependency-track:用于将BOM表报告提交到Dependency-Track的Azure DevOps扩展
05-12
Azure DevOps管道的依赖关系跟踪用于将BOM表报告提交到Dependency-Track的Azure DevOps扩展参数基本设定名称ID 描述必需的BOM文件路径bomFilePath BOM文件所在的路径。 (例如'directory / ** / bom.xml')。 真的...
dependency-check-7.1.1-release
06-27
依赖检查工具dependency-check是软件开发领域中用于检测项目依赖库是否存在已知安全漏洞的重要工具。在版本7.1.1中,它提供了最新的安全数据库和改进的分析功能,以帮助开发者确保他们的应用程序免受潜在的安全威胁...
dependency-check-plugin:用于OWASP Dependency-Check的Jenkins插件。 检查项目组件是否存在已知漏洞(例如CVE)
05-13
全局工具配置可以通过Jenkins全局工具配置安装一个或多个Dependency-Check版本。 Dependency-Check的安装可以自动执行,这将从Bintray下载并提取官方命令行界面(CLI),或者可以手动安装正式发行版,并在配置中引用...
依赖关系跟踪:依赖关系跟踪是一个智能的组件分析平台,使组织可以识别并降低软件供应链中的风险
02-05
Dependency-Track是一个智能的平台,可让组织识别并减少软件供应链中的风险。 Dependency-Track通过利用(SBOM)的功能采取了独特且非常有益的方法。 这种方法提供了传统软件组成分析(SCA)解决方案无法实现的功能。 Dependency-Track监视其投资组合中每个应用程序所有版本的组件使用情况,以便主动识别整个组织的风险。 该平台采用API优先设计,非常适合在CI / CD环境中使用。 生态系统概述 产品特点 跟踪应用程序,库,框架,操作系统,容器,固件和硬件组件 跟踪组织产品组合中每个应用程序的组件使用情况 识别多种形式的风险,包括 已知漏洞的组件 过期的组
Depends (Dependency Walker) 依赖库查看工具
10-21
Depends (Dependency Walker) 依赖库查看工具,包含2.1.3790汉化版、2.2.6000英文版。
dependency-lock-maven-plugin:确保不会意外更改Maven依赖关系的Maven插件
02-04
mvn se.vandmo:dependency-lock-maven-plugin:lock将创建一个dependencies-lock.json文件。 然后,您应该将该文件提交给您选择的源控件。 如果某些依赖项是同一多模块项目的一部分,则您可能希望这些依赖项与锁定...
node-dependency-tree:获取模块的依赖关系树
02-04
npm install --save dependency-tree 适用于JS(AMD,CommonJS,ES6模块),Typescript和CSS预处理程序(CSS(PostCSS),Sass,Stylus和Less); 基本上, 支持的任何模块类型。 对于CommonJS模块,默认情况下,...
实用分享-Dependencies(DLL解析工具)
翟天保的博客
10-07 3795
分享一款Dependencies软件(DLL解析工具)
Dependency-Track单机版容器化部署
WangYouJin321的博客
10-13 776
(SBOM)的功能,采取了一种独特且非常有益的方法。Dependency-Track监控其投资组合中每个应用程序所有版本的组件使用情况,以便主动识别整个组织的风险。个人理解:开源第三方组件漏洞管理平台,通过维护一个漏洞库,再上传工程的bom.xml文件,检测工程中使用的第三方库漏洞,可以和一些CI/CD自动构建平台进行联动,如Jenkins。平台,允许组织识别和降低软件供应链中的风险。Dependency-Track通过利用。执行上面命令即可安装成功,注意需要联网,如果没有网络 需要下载镜像拷贝到内网。
Win10查看dll依赖工具——Dependencies
mjuhbgt的博客
11-04 5290
用于win10的dll依赖查看工具——Dependencies
工具推荐系列:VC++开发必备神器 -- Dependencies,查看依赖库DLL,支持win10,比depends更好用
热门推荐
$firecat利白的代码足迹$
04-29 3万+
1、微软官方有提供depends,可以查看exe文件的依赖库,仅适用于winxp/win7/win8,但是不能用于win10,会卡死报错. 官网下载:http://www.dependencywalker.com/ 2、隆重推荐Dependencies,可以应用在win7/win8/win10,不支持winxp,但还是推荐使用! 软件下载: https://github.com/luca......
docker-compose搭建 Dependency-Track
04-27
好的,我可以为您讲解如何使用 Docker Compose 搭建 Dependency-Track。首先,需要确保您已经安装了 Docker 和 Docker Compose。 1. 创建一个名为 `docker-compose.yml` 的文件,并添加以下内容: ``` version: '3' services: dependency-track: container_name: dependency-track image: owasp/dependency-track ports: - "8080:8080" volumes: - ./data:/data restart: always ``` 2. 然后在同一目录下创建一个名为 `data` 的文件夹,用于存储 Dependency-Track 的数据。 3. 在终端中进入该目录,并运行以下命令来启动服务: ``` docker-compose up -d ``` 4. 等待一段时间,直到服务启动完成。可以通过访问 `http://localhost:8080` 来访问 Dependency-Track 的 Web 界面。 这样就可以使用 Docker Compose 快速搭建 Dependency-Track 了。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值