OWASP Dependency-Check
¿Qué es OWASP Dependency-Check?
OWASP Dependency-CheckHerramienta open source de OWASP para analisis de composicion de software que escanea dependencias y reporta vulnerabilidades conocidas mediante CPE y CVE.
OWASP Dependency-Check es una herramienta gratuita de Software Composition Analysis (SCA) que identifica vulnerabilidades publicas en las dependencias de terceros de un proyecto. Analiza ecosistemas como Java, .NET, Node.js, Python, Ruby o PHP extrayendo evidencias de los ficheros y asociandolos a identificadores Common Platform Enumeration (CPE), para despues cruzarlos con NVD, GitHub Advisories y otras fuentes. Se ejecuta como CLI, plugin Maven, Gradle, Jenkins, GitHub Action o imagen Docker, y genera informes HTML, JSON, JUnit y SARIF para pipelines CI/CD. Los equipos lo usan junto a SAST y DAST para mantener una higiene basica de SBOM y evidenciar la diligencia debida en la gestion de riesgos de cadena de suministro.
● Ejemplos
- 01
Hacer fallar un build de Jenkins cuando Dependency-Check reporta una vulnerabilidad CVSS 9.0+ en una dependencia Maven.
- 02
Exportar los resultados SARIF de Dependency-Check a la pestana Security de GitHub para triaje centralizado.
● Preguntas frecuentes
¿Qué es OWASP Dependency-Check?
Herramienta open source de OWASP para analisis de composicion de software que escanea dependencias y reporta vulnerabilidades conocidas mediante CPE y CVE. Pertenece a la categoría de Cumplimiento y marcos en ciberseguridad.
¿Qué significa OWASP Dependency-Check?
Herramienta open source de OWASP para analisis de composicion de software que escanea dependencias y reporta vulnerabilidades conocidas mediante CPE y CVE.
¿Cómo funciona OWASP Dependency-Check?
OWASP Dependency-Check es una herramienta gratuita de Software Composition Analysis (SCA) que identifica vulnerabilidades publicas en las dependencias de terceros de un proyecto. Analiza ecosistemas como Java, .NET, Node.js, Python, Ruby o PHP extrayendo evidencias de los ficheros y asociandolos a identificadores Common Platform Enumeration (CPE), para despues cruzarlos con NVD, GitHub Advisories y otras fuentes. Se ejecuta como CLI, plugin Maven, Gradle, Jenkins, GitHub Action o imagen Docker, y genera informes HTML, JSON, JUnit y SARIF para pipelines CI/CD. Los equipos lo usan junto a SAST y DAST para mantener una higiene basica de SBOM y evidenciar la diligencia debida en la gestion de riesgos de cadena de suministro.
¿Cómo defenderse de OWASP Dependency-Check?
Las defensas contra OWASP Dependency-Check combinan habitualmente controles técnicos y prácticas operativas, como se detalla en la definición.
¿Cuáles son otros nombres para OWASP Dependency-Check?
Nombres alternativos comunes: Dependency-Check.
● Términos relacionados
- compliance№ 783
OWASP ZAP
Zed Attack Proxy, herramienta de codigo abierto para pruebas de seguridad de aplicaciones web, originalmente de OWASP y actualmente apadrinada por Checkmarx y la comunidad ZAP.
- compliance№ 775
OWASP ASVS
Application Security Verification Standard de OWASP, catalogo de requisitos de seguridad verificables para disenar, construir y verificar aplicaciones web y APIs.
- vulnerabilities№ 259
CVE (Common Vulnerabilities and Exposures)
Catálogo público que asigna un identificador único a cada vulnerabilidad divulgada para referenciarla de forma inequívoca en todo el sector.