当前栏目
sbom +dependencytrack 进行软件组件安全性分析
随着安全越来越重要,日常中我们对于自己开发的软件进行安全扫描同时作为一个常规化的任务是比较重要的,对于依赖组件
基于sbom+ dependencytrack 是一个很不错的选择,而且成本比较低,管理上比较强大,我们需要做的就是基于ci 工具,或者
通过cli 生成sbom,然后基于dependencytrack 提供的api 能力,将sbom 上传到dependencytrack 中,之后对应的安全预警以及
统计分析就都是自动化的了,简单高效,而且还是免费开源的,我们可以自己进行定制开发
参考图
集成简单说明
语句maven 以及npm 项目我们可以使用不同的工具,生成sbom,对于maven 可以直接结合cyclonedx-maven-plugin 插件,通过ci/cd 上直接可以结合dependencytrack
jenkins 插件,然后就可以自动将sbom 上传到dependencytrack 中了,对于npm 项目我们可以结合插件cyclonedx-node-npm 工具,然后再结合dependencytrack jenkins 插件将sbom 上传到dependencytrack中
参考效果
- npm 项目的
- java maven 项目
- jenkins 效果
说明
对于npm 注意生成的是否使用短地址,参考命令cyclonedx-npm --output-file bom.json --short-PURLs
. 否则会有提示超过255 长度的问题,当然github 上也有人提了类似问题,基于sbom +dependencytrack 是一个很不错的集成模式,简单方便,成本低
参考资料
https://docs.dependencytrack.org/
https://github.com/google/osv-scanner
https://www.npmjs.com/package/%40cyclonedx/cyclonedx-npm
https://github.com/CycloneDX/cyclonedx-node-npm
相关文章
- 为什么要用springboot进行开发呢?
- SpringBoot从入门到精通(全)
- 解决SpringBoot中@RequestBody不能和Multipart同时传递的问题
- Springboot 为了偷懒,我封装了一个自适配的数据单位转换工具类
- Springboot中如何优雅的写好Controller层代码
- Django web开发(一) - 前端
- 不会前端没事,用GWT Boot和Spring Boot构建Web程序
- SpringCloud 组件Gateway服务网关【全局过滤器】
- springboot自动装配
- 【前端vue2面试题】2023前端最新版vue2模块,高频24问
- 前端利器——炫酷的CodePen
- 一文带你看透前端世界里的日期时间,对就是Date
- 前端面试八股文(详细版)—上
- 【React】组件三大核心属性
- 【学Vue就跟玩一样】Vue中的路由与多种守卫
- 【Node.js实战】一文带你开发博客项目之Koa2重构(实现session、开发路由、联调、日志)
- 【前端CSS面试题】2023前端最新版css模块,高频15问
- 【手撕源码】vue2.x中keep-alive源码解析
- 【前端之旅】Nginx快速入门
- 2022年最新前端面试题,持续更新