Dependency-Track

OWASP 的持續軟體組成分析專案。透過分析 SBOM（CycloneDX、SPDX）識別第三方和開源元件中的漏洞。捆綁部署包含內建 H2 資料庫 — 單一容器，無需外部相依。

部署後可以做什麼

1. 開啟網域 — 使用 admin / admin 登入（請立即更改密碼）
2. 上傳 SBOM — 匯入 CycloneDX 或 SPDX 物料清單
3. 檢視漏洞 — 查看元件中已識別的 CVE
4. 建立專案 — 組織應用程式並追蹤其相依性
5. 設定政策 — 定義漏洞政策並在違規時收到警報

主要功能

• 支援 CycloneDX 和 SPDX 格式的 SBOM 分析
• 從 NVD、GitHub Advisories、OSV 等來源識別漏洞
• 專案組合管理，追蹤所有應用程式
• 政策引擎，強制執行元件風險閾值
• REST API，用於 CI/CD 管線整合
• 捆綁部署中的內建 H2 資料庫
• OWASP 旗艦專案，社群活躍

重要說明

• 建議容器最低 8 GB RAM
• 預設帳密：admin / admin（首次登入必須更改）

授權

Apache-2.0 — GitHub