OWASP Dependency-Check
Что такое OWASP Dependency-Check?
OWASP Dependency-CheckОткрытый SCA-инструмент OWASP, который сканирует зависимости проекта и сообщает об известных уязвимостях путём сопоставления CPE и CVE-данных.
OWASP Dependency-Check — бесплатный инструмент Software Composition Analysis (SCA), который выявляет публично раскрытые уязвимости в сторонних зависимостях проекта. Он поддерживает экосистемы Java, .NET, Node.js, Python, Ruby, PHP и др., извлекая признаки из файлов и сопоставляя артефакты с идентификаторами Common Platform Enumeration (CPE), а затем сверяясь с NVD, GitHub Advisories и другими источниками. Запускается как CLI, плагин Maven, Gradle, Jenkins, GitHub Action или Docker-образ и формирует отчёты HTML, JSON, JUnit, SARIF для CI/CD-пайплайнов. Команды используют его вместе с SAST и DAST для базовой гигиены SBOM и доказательной базы due diligence в управлении рисками цепочки поставок.
● Примеры
- 01
Падение сборки Jenkins при обнаружении Dependency-Check уязвимости CVSS 9.0+ в Maven-зависимости.
- 02
Экспорт результатов SARIF в GitHub Security для централизованной разборки находок.
● Частые вопросы
Что такое OWASP Dependency-Check?
Открытый SCA-инструмент OWASP, который сканирует зависимости проекта и сообщает об известных уязвимостях путём сопоставления CPE и CVE-данных. Относится к категории Соответствие и стандарты в кибербезопасности.
Что означает OWASP Dependency-Check?
Открытый SCA-инструмент OWASP, который сканирует зависимости проекта и сообщает об известных уязвимостях путём сопоставления CPE и CVE-данных.
Как работает OWASP Dependency-Check?
OWASP Dependency-Check — бесплатный инструмент Software Composition Analysis (SCA), который выявляет публично раскрытые уязвимости в сторонних зависимостях проекта. Он поддерживает экосистемы Java, .NET, Node.js, Python, Ruby, PHP и др., извлекая признаки из файлов и сопоставляя артефакты с идентификаторами Common Platform Enumeration (CPE), а затем сверяясь с NVD, GitHub Advisories и другими источниками. Запускается как CLI, плагин Maven, Gradle, Jenkins, GitHub Action или Docker-образ и формирует отчёты HTML, JSON, JUnit, SARIF для CI/CD-пайплайнов. Команды используют его вместе с SAST и DAST для базовой гигиены SBOM и доказательной базы due diligence в управлении рисками цепочки поставок.
Как защититься от OWASP Dependency-Check?
Защита от OWASP Dependency-Check обычно сочетает технические меры и операционные практики, как описано в определении выше.
Какие есть другие названия OWASP Dependency-Check?
Распространённые альтернативные названия: Dependency-Check.
● Связанные термины
- compliance№ 783
OWASP ZAP
Zed Attack Proxy — открытый инструмент тестирования безопасности веб-приложений, изначально из OWASP, ныне сопровождаемый Checkmarx и сообществом ZAP.
- compliance№ 775
OWASP ASVS
OWASP Application Security Verification Standard — каталог проверяемых требований безопасности для проектирования, разработки и верификации веб-приложений и API.
- vulnerabilities№ 259
CVE (Common Vulnerabilities and Exposures)
Публичный каталог, присваивающий уникальный идентификатор каждой раскрытой уязвимости ПО или оборудования для однозначных ссылок в индустрии.