OWASP Dependency-Check
Was ist OWASP Dependency-Check?
OWASP Dependency-CheckQuelloffenes Software-Composition-Analysis-Werkzeug von OWASP, das Projektabhangigkeiten scannt und bekannte Schwachstellen uber CPE-zu-CVE-Matching meldet.
OWASP Dependency-Check ist ein kostenloses SCA-Tool, das offentlich bekannte Schwachstellen in den Drittanbieter-Abhangigkeiten eines Projekts identifiziert. Es deckt Java, .NET, Node.js, Python, Ruby, PHP und weitere Okosysteme ab, indem es Hinweise aus Dateien extrahiert, Artefakte auf Common-Platform-Enumeration-(CPE)-Bezeichner abbildet und gegen NVD, GitHub Advisories und weitere Quellen abgleicht. Es lasst sich als CLI, Maven-, Gradle-, Jenkins-, GitHub-Actions-Plugin oder Docker-Image betreiben und liefert HTML-, JSON-, JUnit- und SARIF-Berichte fur CI/CD-Pipelines. Teams nutzen es zusammen mit SAST und DAST, um eine grundlegende SBOM-Hygiene durchzusetzen und Due-Diligence-Nachweise fur das Supply-Chain-Risk-Management zu liefern.
● Beispiele
- 01
Jenkins-Build schlagt fehl, wenn Dependency-Check eine CVSS-9.0+-Schwachstelle in einer Maven-Abhangigkeit meldet.
- 02
SARIF-Ergebnisse von Dependency-Check werden in den GitHub-Security-Tab exportiert, um Findings zentral zu triagieren.
● Häufige Fragen
Was ist OWASP Dependency-Check?
Quelloffenes Software-Composition-Analysis-Werkzeug von OWASP, das Projektabhangigkeiten scannt und bekannte Schwachstellen uber CPE-zu-CVE-Matching meldet. Es gehört zur Kategorie Compliance und Frameworks der Cybersicherheit.
Was bedeutet OWASP Dependency-Check?
Quelloffenes Software-Composition-Analysis-Werkzeug von OWASP, das Projektabhangigkeiten scannt und bekannte Schwachstellen uber CPE-zu-CVE-Matching meldet.
Wie funktioniert OWASP Dependency-Check?
OWASP Dependency-Check ist ein kostenloses SCA-Tool, das offentlich bekannte Schwachstellen in den Drittanbieter-Abhangigkeiten eines Projekts identifiziert. Es deckt Java, .NET, Node.js, Python, Ruby, PHP und weitere Okosysteme ab, indem es Hinweise aus Dateien extrahiert, Artefakte auf Common-Platform-Enumeration-(CPE)-Bezeichner abbildet und gegen NVD, GitHub Advisories und weitere Quellen abgleicht. Es lasst sich als CLI, Maven-, Gradle-, Jenkins-, GitHub-Actions-Plugin oder Docker-Image betreiben und liefert HTML-, JSON-, JUnit- und SARIF-Berichte fur CI/CD-Pipelines. Teams nutzen es zusammen mit SAST und DAST, um eine grundlegende SBOM-Hygiene durchzusetzen und Due-Diligence-Nachweise fur das Supply-Chain-Risk-Management zu liefern.
Wie schützt man sich gegen OWASP Dependency-Check?
Schutzmaßnahmen gegen OWASP Dependency-Check kombinieren typischerweise technische Kontrollen und operative Praktiken, wie in der Definition oben beschrieben.
Welche anderen Bezeichnungen gibt es für OWASP Dependency-Check?
Übliche alternative Bezeichnungen: Dependency-Check.
● Verwandte Begriffe
- compliance№ 783
OWASP ZAP
Zed Attack Proxy, ein quelloffenes Werkzeug zum Web-Application-Security-Testing, ursprunglich aus OWASP, heute von Checkmarx und der ZAP-Community gepflegt.
- compliance№ 775
OWASP ASVS
OWASP Application Security Verification Standard, ein Katalog testbarer Sicherheitsanforderungen fur Entwurf, Bau und Verifikation von Webanwendungen und APIs.
- vulnerabilities№ 259
CVE (Common Vulnerabilities and Exposures)
Öffentlicher Katalog, der jeder offengelegten Software- oder Hardware-Schwachstelle einen eindeutigen Bezeichner zuweist, um sie branchenweit eindeutig zu referenzieren.