一、背景
介绍:Dependency-Track是一个智能的供应链组件分析平台,使组织可以识别和减少使用第三方和开源组件的风险。是OWASP的。
我的理解是:检测各种jar包,开源组件,Apache common upload(struts2),这种组件经常有漏洞,这个系统就可以收录进来,查看自己的项目有没有存在低版本有漏洞的组件。
dependency-track,网上一搜,之前都叫dependency-check,作用看起来一样,不知道是不是一个东西。
二、安装
网上dependency-track使用文章一个没有 :( ,只能看官方文档。
参考:
https://github.com/DependencyTrack
https://docs.dependencytrack.org/
docker启动很简单, 运行下面三句就ok了,本来run完后我访问了一下,访问不到,我就去看文档了,文档看了半天也找不到这步接下来需要做什么,就不管了,第二天一看就能访问了!神奇。
docker pull owasp/dependency-track #拉取
docker volume create --name dependency-track #
docker run -d -p 8080:8080 --name dependency-track -v dependency-track:/data owasp/dependency-track #运行
# -d 是后台运行 将容器的 8080 端口映射到主机的 8080 端口,主机的目录 /data 映射到容器的 dependency-track
第一次登陆需要改密码。界面还挺好看的,简洁。
三、数据库
默认启用的嵌入式H2数据库,支持以下数据库。
Microsoft SQL Server 2012 and higher
MySQL 5.6 and 5.7
PostgreSQL 9.0 and higher
四、使用
暂时还没用,后面看看。也没有怎么用的文档。。。
感觉这里写了,但不太懂,怎么能连代码仓库进行扫描呢?
https://docs.dependencytrack.org/usage/cicd/