OWASP Dependency-Check
¿Qué es OWASP Dependency-Check?
OWASP Dependency-CheckHerramienta open source de OWASP para analisis de composicion de software que escanea dependencias y reporta vulnerabilidades conocidas mediante CPE y CVE.
OWASP Dependency-Check es una herramienta gratuita de Software Composition Analysis (SCA) que identifica vulnerabilidades publicas en las dependencias de terceros de un proyecto. Analiza ecosistemas como Java, .NET, Node.js, Python, Ruby o PHP extrayendo evidencias de los ficheros y asociandolos a identificadores Common Platform Enumeration (CPE), para despues cruzarlos con NVD, GitHub Advisories y otras fuentes. Se ejecuta como CLI, plugin Maven, Gradle, Jenkins, GitHub Action o imagen Docker, y genera informes HTML, JSON, JUnit y SARIF para pipelines CI/CD. Los equipos lo usan junto a SAST y DAST para mantener una higiene basica de SBOM y evidenciar la diligencia debida en la gestion de riesgos de cadena de suministro.
● Ejemplos
- 01
Hacer fallar un build de Jenkins cuando Dependency-Check reporta una vulnerabilidad CVSS 9.0+ en una dependencia Maven.
- 02
Exportar los resultados SARIF de Dependency-Check a la pestana Security de GitHub para triaje centralizado.
● Preguntas frecuentes
¿Qué es OWASP Dependency-Check?
Herramienta open source de OWASP para analisis de composicion de software que escanea dependencias y reporta vulnerabilidades conocidas mediante CPE y CVE. Pertenece a la categoría de Cumplimiento y marcos en ciberseguridad.
¿Qué significa OWASP Dependency-Check?
Herramienta open source de OWASP para analisis de composicion de software que escanea dependencias y reporta vulnerabilidades conocidas mediante CPE y CVE.
¿Cómo defenderse de OWASP Dependency-Check?
Las defensas contra OWASP Dependency-Check combinan habitualmente controles técnicos y prácticas operativas, como se detalla en la definición.
¿Cuáles son otros nombres para OWASP Dependency-Check?
Nombres alternativos comunes: Dependency-Check.