## Dependency-Track 软件供应链安全平台 Dependency-Track 官方网站：https://dependencytrack.org/ Dependency-Track 是一个智能化的组件分析平台，旨在帮助组织识别和降低软件供应链中的风险。它通过软件物料清单（SBOM）提供了超越传统软件成分分析（SCA）解决方案的独特能力。 ## 主要功能 - 📦 **SBOM 管理**：支持 CycloneDX 格式的 SBOM 导入和生成 - 🔍 **漏洞识别**：集成多个漏洞情报源（NVD、GitHub Advisories、Snyk 等） - 📊 **组件追踪**：跟踪组织整个应用组合中的组件使用情况 - ⚖️ **许可证风险**：识别和管理开源许可证合规风险 - 🔄 **过期检测**：发现过时和已修改的组件 - 🛡️ **策略引擎**：强大的安全和合规策略配置 - 🌐 **生态系统支持**：支持多种编程语言和包管理器 - 🔔 **通知集成**：可配置的通知（Slack、Teams、Jira 等） - 🔐 **企业认证**：支持 OAuth 2.0 和 OpenID Connect - 🚀 **API 优先**：完整的 REST API 支持，易于集成 CI/CD ## 使用方法 **默认登录凭据：** - 用户名：`admin` - 密码：`admin` - ⚠️ 首次登录后系统会强制要求修改密码 **基本流程：** 1. 访问 Dependency-Track 平台界面 2. 使用默认账号密码登录并修改密码 3. 创建新项目或导入现有项目 4. 上传项目的 SBOM 文件（支持 CycloneDX、SPDX 等格式） 5. 查看识别出的漏洞和风险 6. 使用审计工作流程处理漏洞 7. 配置策略规则以自动化安全合规检查 8. 设置通知以获取风险警报 9. 通过 API 集成到 CI/CD 流程中实现自动化扫描 ## 核心优势 - ✅ **主动风险识别**：在问题影响生产前发现安全隐患 - ✅ **全面追踪**：统一管理组织内所有软件组件 - ✅ **易于集成**：API 优先设计，无缝对接开发流程 - ✅ **开源免费**：基于 Apache 2.0 许可证，由 OWASP 基金会维护 ## 资源要求 **最低配置：** - CPU: 3.5 核 - 内存: 5.5GB - 存储: 建议 10GB 以上 **推荐配置：** - CPU: 6 核 - 内存: 17.5GB - 存储: 建议 20GB 以上 *注意：Dependency-Track 会在启动时检查系统资源是否满足最低要求。如果资源不足，建议增加系统配置以确保平台稳定运行。*