sbom +dependencytrack 进行软件组件安全性分析

随着安全越来越重要,日常中我们对于自己开发的软件进行安全扫描同时作为一个常规化的任务是比较重要的,对于依赖组件
基于sbom+ dependencytrack 是一个很不错的选择,而且成本比较低,管理上比较强大,我们需要做的就是基于ci 工具,或者
通过cli 生成sbom,然后基于dependencytrack 提供的api 能力,将sbom 上传到dependencytrack 中,之后对应的安全预警以及
统计分析就都是自动化的了,简单高效,而且还是免费开源的,我们可以自己进行定制开发

参考图

 

 

 

 

集成简单说明

语句maven 以及npm 项目我们可以使用不同的工具,生成sbom,对于maven 可以直接结合cyclonedx-maven-plugin 插件,通过ci/cd 上直接可以结合dependencytrack
jenkins 插件,然后就可以自动将sbom 上传到dependencytrack 中了,对于npm 项目我们可以结合插件cyclonedx-node-npm 工具,然后再结合dependencytrack jenkins 插件将sbom 上传到dependencytrack中

参考效果

  • npm 项目的

 

 

  • java maven 项目

 

 

  • jenkins 效果

 

 

 

说明

对于npm 注意生成的是否使用短地址,参考命令cyclonedx-npm --output-file bom.json --short-PURLs. 否则会有提示超过255 长度的问题,当然github 上也有人提了类似问题,基于sbom +dependencytrack 是一个很不错的集成模式,简单方便,成本低

参考资料

https://docs.dependencytrack.org/
https://github.com/google/osv-scanner
https://www.npmjs.com/package/%40cyclonedx/cyclonedx-npm
https://github.com/CycloneDX/cyclonedx-node-npm

posted on   荣锋亮  阅读(640)  评论(2编辑  收藏  举报

相关博文:
阅读排行:
· DeepSeek “源神”启动!「GitHub 热点速览」
· 我与微信审核的“相爱相杀”看个人小程序副业
· 上周热点回顾(2.17-2.23)
· 如何使用 Uni-app 实现视频聊天(源码,支持安卓、iOS)
· spring官宣接入deepseek,真的太香了~
历史上的今天:
2021-03-14 spring-native 编译spring 应用为graalvm native 镜像
2020-03-14 pgspider timescale+citus 扩展docker 镜像
2020-03-14 pgspider timescale 扩展docker 镜像
2018-03-14 tomcat  nginx  证书切换
2015-03-14 JS-unicode编码转换

导航

< 2025年2月 >
26 27 28 29 30 31 1
2 3 4 5 6 7 8
9 10 11 12 13 14 15
16 17 18 19 20 21 22
23 24 25 26 27 28 1
2 3 4 5 6 7 8
点击右上角即可分享
微信分享提示