Qu'est-ce que le contrôle de dépendance OWASP ?

OWASP Dependency-Check est un outil permettant d'identifier les vulnérabilités connues dans les dépendances de projets, tandis qu'OWASP Dependency-Track est une plate-forme qui gère et suit l'utilisation des composants logiciels. Dependency-Check analyse les vulnérabilités et Dependency-Track fournit une vue complète du paysage global des dépendances de l'organisation.

Une dépendance logicielle est un composant ou une bibliothèque sur lequel une application logicielle s'appuie pour fonctionner correctement. Les dépendances peuvent inclure des bibliothèques, des frameworks ou des modules externes qui doivent être intégrés à l'application pour qu'elle fonctionne comme prévu.

Pour exécuter une vérification de dépendance OWASP, vous installez généralement l'outil Dependency-Check localement ou l'intégrez dans votre processus de construction à l'aide d'outils d'automatisation de construction tels que Maven ou Jenkins. Une fois configuré, l'outil analyse les dépendances de votre projet, identifie toutes les vulnérabilités connues en les comparant à la base de données nationale sur les vulnérabilités (NVD) et génère un rapport mettant en évidence les problèmes de sécurité détectés.

OWASP Dependency-Check peut être intégré à Jenkins pour une analyse de sécurité continue des dépendances du projet. Les plugins ou les scripts dans Jenkins peuvent déclencher OWASP Dependency-Check pour analyser et signaler les vulnérabilités dans les dépendances.

OWASP Dependency-Check prend en charge plusieurs langages de programmation couramment utilisés dans le développement de logiciels, notamment Java, JavaScript, Ruby, Python, .NET et autres. Il analyse les dépendances des projets écrits dans ces langages pour identifier toute vulnérabilité connue dans les bibliothèques ou frameworks tiers utilisés dans le projet.