上一篇文章里我介绍了用来做第三方组件安全管理的新工具OWASP DependencyTrack的特点,它的典型使用场景等等,这篇文章里我将重点介绍OWASP DependencyTrack的搭建和基本使用。
01 安装
————
OWASP DependencyTrack(下文简称DT)提供了3种安装方式,分别是容器化部署、自运行安装包,以及可以直接在Tomcat里运行的WebApp包。我觉得最方便的还是容器化部署运行DT,只需3条命令即可:
# 下载DependencyTrack镜像
docker pull owasp/dependency-track
# 创建并使用宿主机上的存储以避免数据丢失
docker volume create --name dependency-track
# 在8080端口上运行DependencyTrack
docker run -d -m 8192m -p 8080:8080 --name dependency-track -v dependency-track:/data owasp/dependency-track
片刻之后(取决于你的网速),DependencyTrack就成功运行在本地8080端口了。不过首次运行DT的时候,还会有一些后台任务在运行,主要是DT需要把网上的漏洞数据库同步到本地,所以此时可以稍微等一会儿再用DT,否则可能出现检测不出安全