OWASP Dependency-Check
O que é OWASP Dependency-Check?
OWASP Dependency-CheckFerramenta open source da OWASP para SCA que examina dependencias de um projeto e reporta vulnerabilidades conhecidas atraves do mapeamento CPE para CVE.
O OWASP Dependency-Check e uma ferramenta gratuita de Software Composition Analysis (SCA) que identifica vulnerabilidades publicas nas dependencias de terceiros de um projeto. Cobre Java, .NET, Node.js, Python, Ruby, PHP e outros ecossistemas, extraindo evidencias dos ficheiros e mapeando-as para identificadores Common Platform Enumeration (CPE), cruzando-os depois com NVD, GitHub Advisories e outras fontes. Pode ser executado como CLI, plugin Maven, Gradle, Jenkins, GitHub Action ou imagem Docker, gerando relatorios HTML, JSON, JUnit e SARIF para pipelines de CI/CD. As equipas usam-no a par de SAST e DAST para manter higiene basica do SBOM e evidenciar diligencia na gestao de risco da cadeia de fornecimento.
● Exemplos
- 01
Falhar um build Jenkins quando o Dependency-Check reporta uma vulnerabilidade CVSS 9.0+ numa dependencia Maven.
- 02
Exportar resultados SARIF para o separador Security do GitHub para triagem centralizada.
● Perguntas frequentes
O que é OWASP Dependency-Check?
Ferramenta open source da OWASP para SCA que examina dependencias de um projeto e reporta vulnerabilidades conhecidas atraves do mapeamento CPE para CVE. Pertence à categoria Conformidade e frameworks da cibersegurança.
O que significa OWASP Dependency-Check?
Ferramenta open source da OWASP para SCA que examina dependencias de um projeto e reporta vulnerabilidades conhecidas atraves do mapeamento CPE para CVE.
Como se defender contra OWASP Dependency-Check?
As defesas contra OWASP Dependency-Check costumam combinar controles técnicos e práticas operacionais, conforme detalhado na definição acima.
Quais são outros nomes para OWASP Dependency-Check?
Nomes alternativos comuns: Dependency-Check.