Dependency-Track

OWASP 的持续软件组成分析项目。通过分析 SBOM（CycloneDX、SPDX）识别第三方和开源组件中的漏洞。捆绑部署包含内嵌 H2 数据库 — 单容器，无需外部依赖。

部署后可以做什么

1. 打开域名 — 使用 admin / admin 登录（请立即更改密码）
2. 上传 SBOM — 导入 CycloneDX 或 SPDX 物料清单
3. 查看漏洞 — 查看组件中已识别的 CVE
4. 创建项目 — 组织应用程序并追踪其依赖
5. 设置策略 — 定义漏洞策略并在违规时收到警报

主要功能

• 支持 CycloneDX 和 SPDX 格式的 SBOM 分析
• 从 NVD、GitHub Advisories、OSV 等来源识别漏洞
• 项目组合管理，追踪所有应用程序
• 策略引擎，强制执行组件风险阈值
• REST API，用于 CI/CD 流水线集成
• 捆绑部署中的内嵌 H2 数据库

重要说明

• 建议容器最低 8 GB RAM
• 默认账密：admin / admin（首次登录必须更改）

授权

Apache-2.0 — GitHub