Yazılım, üçüncü taraf bileşenlerden oluşan bir yama çalışmasıdır ve kaputun altında nelerin çalıştığını takip etmek zor bir hale geldi. Açık kaynaklı platform Dependency-Track bu sorunu doğrudan çözüyor. Yazılım kompozisyonunu tek seferlik bir tarama olarak ele almak yerine, her uygulamanın her sürümünü sürekli olarak izleyerek kuruluşlara portföylerinin tamamındaki riskin canlı bir görünümünü sunar.
Yazılım Malzeme Listelerinin (SBOM) gücünden yararlanarak içgörü ve hassasiyet sunar. Geliştiriciler düşünülerek oluşturulan API öncelikli tasarımı, CI/CD iş akışlarına uyum sağlayarak güvenliği derleme sürecinin yerleşik bir parçası haline getirir.
Bağımlılık İzleme özellikleri
Dependency-Track, CycloneDX ile sorunsuz bir şekilde çalışarak SBOM ve VEX formatlarını tüketir ve üretir, tedarik zinciri güvenlik standartlarıyla uyumluluğu sağlar. Platform, uygulamalar ve kitaplıklardan işletim sistemlerine, kapsayıcılara, bellenimlere ve hatta donanıma kadar akla gelebilecek her türlü bileşeni destekleyerek bunların bir kuruluşun portföyündeki kullanımını takip eder.
BT bilinen sorunları bulmakla yetinmiyor. Güncelliğini yitirmiş veya değiştirilmiş bileşenleri tanımlar, lisans risklerini işaretler ve NVD, GitHub Advisories, Sonatype OSS Index, Snyk, Trivy, OSV ve VulnDB dahil olmak üzere birçok istihbarat kaynağından güvenlik açığı verilerini alır. Exploit Tahmin Puanlama Sistemini (EPSS) dahil ederek güvenlik ekiplerinin, istismar edilmesi en muhtemel güvenlik açıklarına odaklanmasına yardımcı olur.
Platform, güvenlik, lisans ve operasyonel uyumluluğu kapsayan küresel veya proje bazında kuralların uygulanmasını sağlayan bir politika motoru içerir. Maven, NPM, PyPI, NuGet, Cargo ve daha fazlası gibi popüler depoları desteklerken aynı zamanda veri akışlarını ve güven sınırlarını haritalamak için API’leri ve harici hizmet bileşenlerini tespit ederek ekosistemden bağımsızdır.
Dependency-Track’in denetim iş akışı önceliklendirmeyi basitleştirir ve bildirimler Slack, Microsoft Teams, Jira, e-posta veya web kancaları aracılığıyla özelleştirilebilir. Metrikler projeler ve portföyler genelinde net bir şekilde sunulur ve Kenna Security, Fortify SSC, ThreadFix ve DefectDojo gibi araçlarla yapılan entegrasyonlar, erişimini mevcut iş akışlarına genişletir.
API öncelikli tasarım, OpenAPI belgeleri ve OAuth 2.0, OpenID Connect, LDAP ve API anahtarları desteğiyle platform esneklik ve ölçek için tasarlanmıştır.
Dependency-Track GitHub’da ücretsiz olarak mevcuttur.
Okumalısınız:
Temel açık kaynaklı siber güvenlik araçları hakkında bilgi sahibi olmak için Help Net Security’nin reklamsız aylık bültenine abone olun. Buradan abone olun!