OWASP dep-scan, proje bağımlılıkları için güvenlik açıkları, tavsiyeler ve lisans kısıtlamaları hakkındaki bilgilerden yararlanan açık kaynaklı bir güvenlik ve risk değerlendirme aracıdır. Giriş kaynakları olarak yerel depoları ve konteyner görüntülerini destekleyerek ASPM/VM platformlarıyla entegrasyona ve CI ortamlarında kullanıma uygun hale getirir.
OWASP derin tarama özellikleri
AppThreat Personel Güvenliği Mühendisi Caroline Russell, en önemli özellikleri şöyle özetliyor:
- Depscan, Yazılım Malzeme Listesini oluşturmak için cdxgen’i kullanır (SBOM’lar), bu da birçok farklı dili ve kaynak kodu yapılandırmasını desteklememize olanak tanır
- Sonuçların özelleştirilebilir Jinja raporlarına ve JSON belgelerine birkaç standartta aktarılmasını sağlar: CycloneDx Güvenlik Açığı Açıklama Raporu (VDR) ve Ortak Güvenlik Danışma Çerçevesi (CSAF) 2.0
- Kaynak kodun dilimlerini oluşturmak için AppThreat/atom’u kullanan erişilebilirlik analizi
- Bağımlılık karışıklığı saldırıları ve bakım riskleri için derin paket risk denetimi
Güvenlik açığı veri kaynakları:
- OSV
- NVD
- GitHub
- NPM
- Linux güvenlik açığı listesi (–cache-os kullanın)
Gelecekteki geliştirme ve indirme
Russell bize ekibin, yıl sonuna doğru yayınlamayı planladıkları OWASP dep-scan 6.0 üzerinde çalıştığını söyledi. Yaklaşan özellikler şunları içerir:
- Güvenlik açıklarını sorgulamak için daha hızlı bir arka uç veritabanı
- Kör entegrasyon
- Kullanıcı yapılandırma ayarları: arka uç tehdit veritabanının otomatik güncellemeleri ve kullanıcı tanımlı tarama hariç tutmalarıyla ilgilidir
OWASP derin tarama şu adreste ücretsiz olarak mevcuttur: GitHub.
0 Yorumlar