OWASP Dependency-Check
O que é OWASP Dependency-Check?
OWASP Dependency-CheckFerramenta open source da OWASP para SCA que examina dependencias de um projeto e reporta vulnerabilidades conhecidas atraves do mapeamento CPE para CVE.
O OWASP Dependency-Check e uma ferramenta gratuita de Software Composition Analysis (SCA) que identifica vulnerabilidades publicas nas dependencias de terceiros de um projeto. Cobre Java, .NET, Node.js, Python, Ruby, PHP e outros ecossistemas, extraindo evidencias dos ficheiros e mapeando-as para identificadores Common Platform Enumeration (CPE), cruzando-os depois com NVD, GitHub Advisories e outras fontes. Pode ser executado como CLI, plugin Maven, Gradle, Jenkins, GitHub Action ou imagem Docker, gerando relatorios HTML, JSON, JUnit e SARIF para pipelines de CI/CD. As equipas usam-no a par de SAST e DAST para manter higiene basica do SBOM e evidenciar diligencia na gestao de risco da cadeia de fornecimento.
● Exemplos
- 01
Falhar um build Jenkins quando o Dependency-Check reporta uma vulnerabilidade CVSS 9.0+ numa dependencia Maven.
- 02
Exportar resultados SARIF para o separador Security do GitHub para triagem centralizada.
● Perguntas frequentes
O que é OWASP Dependency-Check?
Ferramenta open source da OWASP para SCA que examina dependencias de um projeto e reporta vulnerabilidades conhecidas atraves do mapeamento CPE para CVE. Pertence à categoria Conformidade e frameworks da cibersegurança.
O que significa OWASP Dependency-Check?
Ferramenta open source da OWASP para SCA que examina dependencias de um projeto e reporta vulnerabilidades conhecidas atraves do mapeamento CPE para CVE.
Como funciona OWASP Dependency-Check?
O OWASP Dependency-Check e uma ferramenta gratuita de Software Composition Analysis (SCA) que identifica vulnerabilidades publicas nas dependencias de terceiros de um projeto. Cobre Java, .NET, Node.js, Python, Ruby, PHP e outros ecossistemas, extraindo evidencias dos ficheiros e mapeando-as para identificadores Common Platform Enumeration (CPE), cruzando-os depois com NVD, GitHub Advisories e outras fontes. Pode ser executado como CLI, plugin Maven, Gradle, Jenkins, GitHub Action ou imagem Docker, gerando relatorios HTML, JSON, JUnit e SARIF para pipelines de CI/CD. As equipas usam-no a par de SAST e DAST para manter higiene basica do SBOM e evidenciar diligencia na gestao de risco da cadeia de fornecimento.
Como se defender contra OWASP Dependency-Check?
As defesas contra OWASP Dependency-Check costumam combinar controles técnicos e práticas operacionais, conforme detalhado na definição acima.
Quais são outros nomes para OWASP Dependency-Check?
Nomes alternativos comuns: Dependency-Check.
● Termos relacionados
- compliance№ 783
OWASP ZAP
Zed Attack Proxy, ferramenta open source de testes de seguranca de aplicacoes web, originaria da OWASP e agora mantida pela Checkmarx e pela comunidade ZAP.
- compliance№ 775
OWASP ASVS
Application Security Verification Standard da OWASP, catalogo de requisitos de seguranca testaveis para projetar, construir e verificar aplicacoes web e APIs.
- vulnerabilities№ 259
CVE (Common Vulnerabilities and Exposures)
Catálogo público que atribui um identificador único a cada vulnerabilidade divulgada para que possa ser referenciada de forma inequívoca em toda a indústria.