OWASP Dependency-Check
OWASP Dependency-Check とは何ですか?
OWASP Dependency-CheckOWASP が公開するオープンソースのソフトウェアコンポジション分析ツール。プロジェクトの依存関係を走査し、CPE と CVE データの照合で既知脆弱性を報告する。
OWASP Dependency-Check は、プロジェクトのサードパーティ依存に存在する公開済み脆弱性を検出する無償の SCA ツールです。Java、.NET、Node.js、Python、Ruby、PHP などのエコシステムを対象に、ファイルから根拠情報を抽出し、Common Platform Enumeration(CPE)識別子へマッピングしたうえで NVD、GitHub Advisories などのフィードと突き合わせます。CLI のほか Maven、Gradle、Jenkins、GitHub Action、Docker イメージとして実行でき、CI/CD 向けに HTML、JSON、JUnit、SARIF のレポートを生成します。チームは SAST/DAST と併用し、SBOM の最低限の衛生確保とサプライチェーンリスク管理のデューデリジェンスの証跡として活用します。
● 例
- 01
Dependency-Check が Maven 依存に CVSS 9.0 以上の脆弱性を検出した場合、Jenkins ビルドを失敗させる。
- 02
Dependency-Check の SARIF 結果を GitHub Security タブにエクスポートし、集中トリアージを行う。
● よくある質問
OWASP Dependency-Check とは何ですか?
OWASP が公開するオープンソースのソフトウェアコンポジション分析ツール。プロジェクトの依存関係を走査し、CPE と CVE データの照合で既知脆弱性を報告する。 サイバーセキュリティの コンプライアンスとフレームワーク カテゴリに属します。
OWASP Dependency-Check とはどういう意味ですか?
OWASP が公開するオープンソースのソフトウェアコンポジション分析ツール。プロジェクトの依存関係を走査し、CPE と CVE データの照合で既知脆弱性を報告する。
OWASP Dependency-Check はどのように機能しますか?
OWASP Dependency-Check は、プロジェクトのサードパーティ依存に存在する公開済み脆弱性を検出する無償の SCA ツールです。Java、.NET、Node.js、Python、Ruby、PHP などのエコシステムを対象に、ファイルから根拠情報を抽出し、Common Platform Enumeration(CPE)識別子へマッピングしたうえで NVD、GitHub Advisories などのフィードと突き合わせます。CLI のほか Maven、Gradle、Jenkins、GitHub Action、Docker イメージとして実行でき、CI/CD 向けに HTML、JSON、JUnit、SARIF のレポートを生成します。チームは SAST/DAST と併用し、SBOM の最低限の衛生確保とサプライチェーンリスク管理のデューデリジェンスの証跡として活用します。
OWASP Dependency-Check からどのように防御しますか?
OWASP Dependency-Check に対する防御は通常、上記の定義で述べたとおり、技術的統制と運用上の実践を組み合わせます。
OWASP Dependency-Check の別名は何ですか?
一般的な別名: Dependency-Check。
● 関連用語
- compliance№ 783
OWASP ZAP
OWASP 由来の Web アプリ向けオープンソース・セキュリティテストツール Zed Attack Proxy。現在は Checkmarx と ZAP コミュニティが共同で運営している。
- compliance№ 775
OWASP ASVS
OWASP アプリケーションセキュリティ検証標準。Web アプリケーションや API の設計・実装・検証に用いる、検証可能なセキュリティ要件のカタログ。
- vulnerabilities№ 259
CVE(共通脆弱性識別子)
公開された各ソフトウェア・ハードウェア脆弱性に一意の識別子を付与し、業界全体で曖昧さなく参照できるようにする公的カタログ。