nicokosi/dependency-track.md

## dependency-track.md

      
    Raw
  

              dependency-track.md
            
          
    🔒OWASP Dependency Track

https://dependencytrack.org
Sondage express


entendu parler ?
utilisé ?
utilise ?

##Pourquoi ?
“Component Analysis platform that allows organizations to identify and reduce risk in the software supply chain”


Analyse / correction en continu des alertes de vulnérabilités : détection, analyse de l’impact, priorisation, correction, suivi


Gestion des licences


Ecosystèmes


Rust
Composer (PHP)
Gems (Ruby)
Hex (Erlang/Elixir)
Maven (Java)
NPM (Javascript)
NuGet (.NET)
Pypi (Python)

Sources de données


National Vulnerability Database: https://nvd.nist.gov 🇺🇸
GitHub Advisory: https://github.com/advisories) 🐙
Open Source Vulnerabilities: https://osv.dev/list 🧑‍💻
Snyk, Sonatype, VulnDB etc.

Expérimentation

A Vidal, merci Jean-Christophe !
Expérimentation : import des composants

Expérimentation : graphe des dépendances

Expérimentation : analyse d’une vulnérabilité

Expérimentation : la suite ?


pouvoir exporter un rapport d’audit (format VEX ?)
avoir un joli rapport d’audit
automatiser l’import des composants (SBOM)


## dependency-track.txt
🔒OWASP Dependency Track
https://dependencytrack.org


Sondage express
entendu parler ?
utilisé ?
utilise ?

Pourquoi ?
“Component Analysis platform that allows organizations to identify and reduce risk in the software supply chain”
Analyse / correction en continu des alertes de vulnérabilités : détection, analyse de l’impact, priorisation, correction, suivi
Gestion des licences


Ecosystèmes
Rust
Composer (PHP)
Gems (Ruby)
Hex (Erlang/Elixir)
Maven (Java)
NPM (Javascript)
NuGet (.NET)
Pypi (Python)


Sources de données

National Vulnerability Database: https://nvd.nist.gov 🇺🇸
GitHub Advisory: https://github.com/advisories) 🐙
Open Source Vulnerabilities: https://osv.dev/list 🧑‍💻
Snyk, Sonatype, VulnDB etc.

Expérimentation
A Vidal, merci Jean-Christophe !

Expérimentation : import des composants

Expérimentation : graphe des dépendances

Expérimentation : analyse d’une vulnérabilité

Expérimentation : la suite ?

pouvoir exporter un rapport d’audit (format VEX ?)
avoir un joli rapport d’audit
automatiser l’import des composants (SBOM)
	🔒OWASP Dependency Track
	https://dependencytrack.org


	Sondage express
	entendu parler ?
	utilisé ?
	utilise ?

	Pourquoi ?
	“Component Analysis platform that allows organizations to identify and reduce risk in the software supply chain”
	Analyse / correction en continu des alertes de vulnérabilités : détection, analyse de l’impact, priorisation, correction, suivi
	Gestion des licences



	Ecosystèmes
	Rust
	Composer (PHP)
	Gems (Ruby)
	Hex (Erlang/Elixir)
	Maven (Java)
	NPM (Javascript)
	NuGet (.NET)
	Pypi (Python)


	Sources de données

	National Vulnerability Database: https://nvd.nist.gov 🇺🇸
	GitHub Advisory: https://github.com/advisories) 🐙
	Open Source Vulnerabilities: https://osv.dev/list 🧑‍💻
	Snyk, Sonatype, VulnDB etc.

	Expérimentation
	A Vidal, merci Jean-Christophe !

	Expérimentation : import des composants

	Expérimentation : graphe des dépendances

	Expérimentation : analyse d’une vulnérabilité

	Expérimentation : la suite ?

	pouvoir exporter un rapport d’audit (format VEX ?)
	avoir un joli rapport d’audit
	automatiser l’import des composants (SBOM)