Dependency Track：智能组件分析平台

#############################

免责声明：工具本身并无好坏，希望大家以遵守《网络安全法》相关法律为前提来使用该工具，支持研究学习，切勿用于非法犯罪活动，对于恶意使用该工具造成的损失，和本人及开发者无关。

##############################

简介

Dependency-Track是一个智能的组件分析平台，可以帮助组织识别和减少软件供应链中的风险。Dependency-Track采用了一种独特而极具益处的方法，利用了软件材料清单（SBOM）的功能。这种方法提供了传统软件组成分析（SCA）解决方案无法实现的功能。

安装

# Downloads the latest Docker Compose filecurl -LO https://dependencytrack.org/docker-compose.yml

修改docker-compose.yaml

API_BASE_URL=http://192.168.32.130:8081

启动服务

docker-compose up -d

使用默认账号密码进行登录：admin/admin

CICD

docker启动Jenkins

docker run -itd -p 9090:8080 -p 50000:50000 -u root -v /tmp/jenkins:/var/jenkins_home   -v  /tmp/maven:/usr/local/maven jenkins/jenkins:2.344

安装Dependency-Track插件

Dependency-Track Jenkins插件有助于将CycloneDX软件材料清单（SBOM）发布到Dependency-Track平台。

Dependency-Track是一个智能的软件供应链组件分析平台，允许组织识别和减少使用第三方和开源组件所带来的风险。发布SBOM可以异步或同步执行。

异步发布只是将SBOM上传到Dependency-Track，作业继续进行。同步发布等待Dependency-Track处理上传的SBOM。同步发布的好处是显示交互式作业趋势和每个构建的发现。

在teams创建API key

配置API URL和API key

需要在DT平台创建一个test项目

插件选择test项目

在pom.xml添加以下内容，用于生成bom.xml

<build>    <plugins>        <plugin>            <groupId>org.cyclonedx</groupId>            <artifactId>cyclonedx-maven-plugin</artifactId>            <version>2.7.5</version>            <executions>                <execution>                    <phase>compile</phase>                    <goals>                        <goal>makeAggregateBom</goal>                    </goals>                </execution>            </executions>            <configuration>                <outputFormat>xml</outputFormat>            </configuration>        </plugin>    </plugins></build>

或者Jenkins命令构建时，用mvn clean compile org.cyclonedx:cyclonedx-maven-plugin:makeAggregateBom

构建项目成功

返回上一层，可以看到漏洞总览

点击Dependency-Track Report，会在Jenkins看到安全漏洞信息。

点击Dependency-Track Project会跳转到DT页面

点击 Components可以看到组件漏洞信息

随便点击一个组件进去，可以看到具体的CVE编号

查看漏洞详情描述

有组件license检测