OWASP dep-scan, proje bağımlılıkları için güvenlik açıkları, tavsiyeler ve lisans kısıtlamaları hakkındaki bilgilerden yararlanan açık kaynaklı bir güvenlik ve risk değerlendirme aracıdır. Giriş kaynakları olarak yerel depoları ve konteyner görüntülerini destekleyerek ASPM/VM platformlarıyla entegrasyona ve CI ortamlarında kullanıma uygun hale getirir.
OWASP derin tarama özellikleri
AppThreat Personel Güvenliği Mühendisi Caroline Russell, en önemli özellikleri şöyle özetliyor:
- Depscan, birçok farklı dili ve kaynak kodu yapılandırmasını desteklememize olanak tanıyan Yazılım Malzeme Listesi (SBOM’lar) üretmek için cdxgen’i kullanıyor
- Sonuçların özelleştirilebilir Jinja raporlarına ve JSON belgelerine birkaç standartta aktarılmasını sağlar: CycloneDx Güvenlik Açığı Açıklama Raporu (VDR) ve Ortak Güvenlik Danışma Çerçevesi (CSAF) 2.0
- Kaynak kodun dilimlerini oluşturmak için AppThreat/atom’u kullanan erişilebilirlik analizi
- Bağımlılık karışıklığı saldırıları ve bakım riskleri için derin paket risk denetimi
Güvenlik açığı veri kaynakları:
- VESAİRE
- NVD
- GitHub
- NPM
- Linux güvenlik açığı listesi (–cache-os kullanın)
Gelecekteki geliştirme ve indirme
Russell bize ekibin, yıl sonuna doğru yayınlamayı planladıkları OWASP dep-scan 6.0 üzerinde çalıştığını söyledi. Yaklaşan özellikler şunları içerir:
- Güvenlik açıklarını sorgulamak için daha hızlı bir arka uç veritabanı
- BLint entegrasyonu
- Kullanıcı yapılandırma ayarları: arka uç tehdit veritabanının otomatik güncellemeleri ve kullanıcı tanımlı tarama hariç tutmalarıyla ilgilidir
OWASP dep-scan GitHub’da ücretsiz olarak mevcuttur.
Okumalısınız: