Dependency-Track

OWASPの継続的ソフトウェア構成分析プロジェクト。SBOM（CycloneDX、SPDX）を分析してサードパーティおよびオープンソースコンポーネントの脆弱性を特定。バンドルデプロイは組み込みH2データベースを含み、外部依存不要。

デプロイ後にできること

1. ドメインにアクセス — admin / admin でログイン（すぐにパスワードを変更）
2. SBOMをアップロード — CycloneDXまたはSPDX部品表をインポート
3. 脆弱性を確認 — コンポーネントで特定されたCVEを表示
4. プロジェクトを作成 — アプリケーションを整理し依存関係を追跡
5. ポリシーを設定 — 脆弱性ポリシーを定義し違反時にアラート

主な機能

• CycloneDXとSPDX形式のSBOM分析
• NVD、GitHub Advisories、OSVなどからの脆弱性特定
• すべてのアプリケーションを追跡するプロジェクトポートフォリオ管理
• コンポーネントリスクしきい値を強制するポリシーエンジン
• CI/CDパイプライン統合用REST API
• バンドルデプロイの組み込みH2データベース

重要な注意事項

• コンテナに最低8GB RAMを推奨
• デフォルト認証情報：admin / admin（初回ログイン時に変更必須）

ライセンス

Apache-2.0 — GitHub