DependencyTrack/dependency-track
GitHub: DependencyTrack/dependency-track
Dependency-Track 是一个智能的软件成分分析平台,通过 SBOM 持续监控组织内所有应用的组件风险,帮助企业识别和管理软件供应链安全风险。
Stars: 3658 | Forks: 713
[](https://github.com/DependencyTrack/dependency-track/actions?workflow=CI+Build)
[](https://www.codacy.com/gh/DependencyTrack/dependency-track/dashboard?utm_source=github.com&utm_medium=referral&utm_content=DependencyTrack/dependency-track&utm_campaign=Badge_Grade)
[](https://github.com/stevespringett/Alpine)
[][Apache License 2.0]
[](https://www.owasp.org/index.php/OWASP_Dependency_Track_Project)
[](https://dependencytrack.org/)
[](https://docs.dependencytrack.org/)
[](https://dependencytrack.org/slack)
[](https://dependencytrack.org/discussion)
[](https://dependencytrack.org/youtube)
[](https://twitter.com/dependencytrack)
[](https://github.com/DependencyTrack/dependency-track/releases)
[](https://github.com/DependencyTrack/dependency-track/releases)
[](https://hub.docker.com/r/dependencytrack/apiserver/)
[](https://hub.docker.com/r/dependencytrack/frontend/)
[](https://hub.docker.com/r/dependencytrack/bundled/)
[](https://hub.docker.com/r/owasp/dependency-track/)
Dependency-Track 是一个智能的 [Component Analysis] 平台,允许组织识别并降低软件供应链中的风险。Dependency-Track 采用了一种独特且非常有益的方法,即利用 [Software Bill of Materials] (SBOM) 的能力。这种方法提供了传统软件成分分析 (SCA) 解决方案无法实现的功能。
Dependency-Track 监控其组合中每个应用程序的所有版本的组件使用情况,以便主动识别整个组织的风险。该平台采用 API-first 设计,非常适合在 CI/CD 环境中使用。
## 生态系统概述
## 功能特性
* 消耗并生成 [CycloneDX] Software Bill of Materials (SBOM)
* 消耗并生成 [CycloneDX Vulnerability Exploitability Exchange (VEX)](https://cyclonedx.org/capabilities/vex/)
* 组件支持:
* 应用程序
* 库
* 框架
* 操作系统
* 容器
* 固件
* 文件
* 硬件
* 服务
* 跟踪组织组合中每个应用程序的组件使用情况
* 快速识别受影响的对象及其位置
* 识别多种形式的风险,包括
* 具有已知漏洞的组件
* 过时的组件
* 被修改的组件
* 许可证风险
* 更多功能即将推出...
* 与多个漏洞情报源集成,包括:
* [National Vulnerability Database] (NVD)
* [GitHub Advisories]
* [Sonatype OSS Index]
* [Snyk]
* [Trivy]
* [OSV]
* 来自 [Risk Based Security] 的 [VulnDB]
* 更多功能即将推出。
* 通过整合对 [Exploit Prediction Scoring System (EPSS)](https://www.first.org/epss/) 的支持,帮助确定缓解措施的优先级
* 维护漏洞组件的私有漏洞数据库
* 强大的策略引擎,支持全局和单项目策略
* 安全风险与合规
* 许可证风险与合规
* 运营风险与合规
* 生态系统无关,内置仓库支持:
* Cargo (Rust)
* Composer (PHP)
* Gems (Ruby)
* Hex (Erlang/Elixir)
* Maven (Java)
* NPM (Javascript)
* CPAN (Perl)
* NuGet (.NET)
* PyPI (Python)
* 更多功能即将推出。
* 识别 API 和外部服务组件,包括:
* 服务提供商
* Endpoint URIs
* 数据分类
* 数据流向
* 信任边界穿越
* 身份验证要求
* 包含用于分类结果的全面审计工作流
* 可配置的通知支持 Slack、Microsoft Teams、Mattermost、Webhooks、Webex、Email 和 Jira
* 支持标准化的 SPDX 许可证 ID 并按组件跟踪许可证使用情况
* 易于阅读的组件、项目和组合指标
* 原生支持 Kenna Security、Fortify SSC、ThreadFix 和 DefectDojo
* API-first 设计便于与其他系统集成
* 提供 OpenAPI 格式的 API 文档
* OAuth 2.0 + OpenID Connect (OIDC) 支持单点登录 (authN/authZ)
* 支持内部管理的用户、Active Directory/LDAP 和 API Keys
* 安装和配置简单。只需几分钟即可启动并运行
 ### 快速开始 (Docker Compose) ``` # 下载最新的 Docker Compose file curl -LO https://dependencytrack.org/docker-compose.yml # 使用 Docker Compose 启动 stack docker compose up -d ``` ### 快速开始 (Docker Swarm) ``` # 下载最新的 Docker Compose file curl -LO https://dependencytrack.org/docker-compose.yml # 初始化 Docker Swarm (如果之前未初始化) docker swarm init # 使用 Docker Swarm 启动 stack docker stack deploy -c docker-compose.yml dtrack ``` ### 快速开始 (手动执行) ``` # 从 Docker Hub OWASP repo 拉取 image docker pull dependencytrack/bundled # 创建专用 volume 以便在 container 外部存储数据 docker volume create --name dependency-track # 在端口 8080 上运行 8GB RAM 的 bundled container docker run -d -m 8192m -p 8080:8080 --name dependency-track -v dependency-track:/data dependencytrack/bundled ``` **注意:生产环境中请始终使用官方二进制版本。** ## 发行版本 Dependency-Track 有三种发行版变体。它们是: | Package | Package Format | Recommended | Supported | Docker | Download | |:-----------|:------------------------|:-----------:|:---------:|:------:|:--------:| | API Server | Executable WAR | ✅ | ✅ | ✅ | ✅ | | Frontend | Single Page Application | ✅ | ✅ | ✅ | ✅ | | Bundled | Executable WAR | ❌ | ☑️ | ✅ | ✅ | #### API Server API Server 包含一个嵌入式 Jetty server 和所有服务端功能,但不包括前端用户界面。此变体是 Dependency-Track v4.0 中的新增功能。 #### Frontend [Frontend](https://github.com/DependencyTrack/frontend) 是可在 Web 浏览器中访问的用户界面。Frontend 是一个单页面应用程序 (SPA),可以独立于 Dependency-Track API Server 部署。此变体是 Dependency-Track v3.8 中的新增功能。 #### Bundled Bundled 变体结合了 API Server 和 Frontend 用户界面。此变体以前被称为 executable war,是 Dependency-Track v3.0 - v3.8 期间的首选发行版。此变体受支持但已弃用,并将在未来的版本中停止维护。 #### 传统 Traditional 变体结合了 API Server 和 Frontend 用户界面,必须部署到 Servlet 容器中。此变体不受支持,已弃用,并将在未来的版本中停止维护。 ## 使用 Helm 在 Kubernetes 上部署 请参阅 https://github.com/DependencyTrack/helm-charts。 ## 资源 * 网站:
## 版权与许可
Dependency-Track 版权所有 (c) OWASP Foundation。保留所有权利。
修改和重新分发是在 [Apache License 2.0] 的条款下授予的。
Dependency-Track 使用了其他几个开源库。请参阅 [notices] 文件以获取更多信息。
 ### 快速开始 (Docker Compose) ``` # 下载最新的 Docker Compose file curl -LO https://dependencytrack.org/docker-compose.yml # 使用 Docker Compose 启动 stack docker compose up -d ``` ### 快速开始 (Docker Swarm) ``` # 下载最新的 Docker Compose file curl -LO https://dependencytrack.org/docker-compose.yml # 初始化 Docker Swarm (如果之前未初始化) docker swarm init # 使用 Docker Swarm 启动 stack docker stack deploy -c docker-compose.yml dtrack ``` ### 快速开始 (手动执行) ``` # 从 Docker Hub OWASP repo 拉取 image docker pull dependencytrack/bundled # 创建专用 volume 以便在 container 外部存储数据 docker volume create --name dependency-track # 在端口 8080 上运行 8GB RAM 的 bundled container docker run -d -m 8192m -p 8080:8080 --name dependency-track -v dependency-track:/data dependencytrack/bundled ``` **注意:生产环境中请始终使用官方二进制版本。** ## 发行版本 Dependency-Track 有三种发行版变体。它们是: | Package | Package Format | Recommended | Supported | Docker | Download | |:-----------|:------------------------|:-----------:|:---------:|:------:|:--------:| | API Server | Executable WAR | ✅ | ✅ | ✅ | ✅ | | Frontend | Single Page Application | ✅ | ✅ | ✅ | ✅ | | Bundled | Executable WAR | ❌ | ☑️ | ✅ | ✅ | #### API Server API Server 包含一个嵌入式 Jetty server 和所有服务端功能,但不包括前端用户界面。此变体是 Dependency-Track v4.0 中的新增功能。 #### Frontend [Frontend](https://github.com/DependencyTrack/frontend) 是可在 Web 浏览器中访问的用户界面。Frontend 是一个单页面应用程序 (SPA),可以独立于 Dependency-Track API Server 部署。此变体是 Dependency-Track v3.8 中的新增功能。 #### Bundled Bundled 变体结合了 API Server 和 Frontend 用户界面。此变体以前被称为 executable war,是 Dependency-Track v3.0 - v3.8 期间的首选发行版。此变体受支持但已弃用,并将在未来的版本中停止维护。 #### 传统 Traditional 变体结合了 API Server 和 Frontend 用户界面,必须部署到 Servlet 容器中。此变体不受支持,已弃用,并将在未来的版本中停止维护。 ## 使用 Helm 在 Kubernetes 上部署 请参阅 https://github.com/DependencyTrack/helm-charts。 ## 资源 * 网站:
标签:CycloneDX, Dependency-Track, DevSecOps, Docker, GPT, JS文件枚举, Python库, SBOM, SPDX, 上游代理, 域名枚举, 子域名突变, 安全合规, 安全防御评估, 开源框架, 持续集成, 文档安全, 漏洞管理, 硬件无关, 组件分析, 网络代理, 请求拦截, 软件供应链安全, 软件开发工具包, 远程方法调用, 风险识别