7 мая 2024 года OWASP Dependency-Track выпустил новую версию сканера уязвимостей – Dependency-Track v4.11.0. Релиз предлагает множество улучшений, облегчающих работу с инструментом.

Одним из ключевых нововведений стала атомарная обработка SBOM. Теперь ошибки, возникающие в процессе анализа, не приводят к тому, что операция остается незавершенной. Дедупликация компонентов и служб стала более предсказуемой, а создаваемые сообщения в логах содержат дополнительный контекст, что упрощает их корреляцию. Поскольку новая реализация может оказать большое влияние на поведение Dependency‑Track при загрузке SBOM, в релизе она отключена по умолчанию. Ее можно запустить в разделе Администрирование — Experimental.

По заявлению вендора, с этим обновлением логика сканера стала более надежной и эффективной. Мы протестировали настройку и обнаружили, что анализ спецификации стал занимать больше времени. Например, обработка SBOM, состоящего из 199 компонентов с графом зависимостей, заняла 12,54 сек. против 9,02 сек. у старого метода. Поэтому мы рекомендуем оставить эту настройку выключенной.

Активация настройки обработки SBOM
Активация настройки обработки SBOM

Еще одно обновление в Dependency‑Track — валидация SBOM‑файла на соответствие формату CycloneDX. Опция активируется по умолчанию, ей можно управлять в панели администратора — BOM Formats.

Мы рекомендуем отключать данную настройку в продуктовом окружении, так как есть вероятность, что используемые вами SBOM‑генераторы не следуют схеме, а значит, будут отклонены сервером Dependency‑Track. Поэтому перед активацией функции следует проверить стабильность загрузки SBOM в тестовом окружении. Влияние данной настройки на время обработки спецификации является незначительным.

Настройка включения валидации SBOM-файла
Настройка включения валидации SBOM-файла

Был добавлен новый раздел Vulnerability Audit. Теперь пользователи могут выявлять и фильтровать уязвимости во всех разработках. Если включен контроль доступа к портфолио, отображаются только разрешенные проекты. Есть проверка отдельных результатов или их совокупности, что позволяет находить наиболее распространенные уязвимости.

Глобальный аудит уязвимостей
Глобальный аудит уязвимостей

Доработка показывает, к какому проекту принадлежит определенная уязвимость, однако сделать ее False Positive на глобальном уровне для всех проектов пока нельзя.

Одна и та же уязвимость появляется в нескольких проектах, но глобальное управление отсутствует
Одна и та же уязвимость появляется в нескольких проектах, но глобальное управление отсутствует

Также в данном разделе мы обнаружили проблему с временем загрузки данных: на системе с 128 000 сработок каждая страница открывается в среднем 20 секунд. Это не зависит от выбранного объема записей, поэтому мы рекомендуем устанавливать максимальное значение — 100.

Время обработки запроса
Время обработки запроса

Еще одним улучшением Dependency-Track стала интеграция с анализатором Trivy. Теперь его можно использовать в режиме сервера для анализа уязвимостей проекта.

Также в пользовательский интерфейс инструмента добавлено 12 дополнительных языков, в том числе русский. Переключать их можно в Профиле клиента.

Переключение языков
Переключение языков

Перевод на другие языки пока неточный (ниже на картинке сравнение оригинальной и русскоязычной версии раздела репозиториев). Это связано с тем, что большинство языков сейчас переводится машинным способом.

Перевод страницы репозиториев на русский язык
Перевод страницы репозиториев на русский язык

Среди прочих улучшений разработчик отметил добавление официальных пакетов Helm для развертывания в Kubernetes (Helm Charts). Их настройка доступна на GitHub. 

Также в новой версии сканера изменилась демонстрация количества уязвимостей и политик по критичности их срабатывания и влияния на компоненты. 

Политика и компонент, на который она сработала
Политика и компонент, на который она сработала

Теперь число найденных ИБ‑проблем указывается с учетом дубликатов (alias, подсвечено синим цветом) и без (выделено зеленым). Сработавшие политики по возрастанию критичности отмечены синим, оранжевым и красным, а их общее количество — зеленым.

Уязвимости и сработавшие политик в проекте
Уязвимости и сработавшие политик в проекте

Подводя итог

За неделю после релиза Dependency-Track v4.11.0 в GitHub проекта не появилось критических issue. Можно считать, что версия стабильна и пользователям стоит обновиться. При этом мы не разделяем оптимизм вендора по поводу обработки SBOM и рекомендуем отключить настройку валидации спецификации в продуктовом окружении.

Комментарии (2)


  1. MrAlone
    17.05.2024 07:26

    За официальный Helm чарт большой плюс.


  1. Protos
    17.05.2024 07:26

    обработка SBOM, состоящего из 199 компонентов с графом зависимостей, заняла 12,54 сек. против 9,02 сек. у старого метода. Поэтому мы рекомендуем оставить эту настройку выключенной.

    Не понял, почему?

    По моему опыту те разработчики, что возмущаются по поводу медленных DevSecOps проверок в PR, часто еще не дождались завершения рецензии реальным коллегой (ами), не устранили выявленные ими проблемы, либо не устранили проблемы других сборок (QA и т.п.).