Использование сканера уязвимостей в используемых библиотеках Dependency-Check в GitlabCI

[Invision70]

Для тех кто хочет попробовать

hub.docker.com/r/owasp/dependency-check
jeremylong.github.io/DependencyCheck/dependency-check-cli/arguments.html
p.s добавьте --enableExperimental

[chemtech]

Поделитесь пожалуйста конфигом для gitlab-ci.yaml
У меня вот такой простой конфиг не работает:

image: owasp/dependency-check

test:
  script: "--version"

[SpAwN_gUy]

Хочу добаить пару копеек из моего знакомства с продуктом.
Как "сиюминутный" сканер "текущих" уязвимостей во время CI/CD — одного DepCheck вполне хватит.
Проблема возникнет, когда у вас таких проектов Много и они будут Обновляться или Не обновляться с течением времени.

Как раз для Исторической справки и отслеживания новых уязвимостей в запущенном коде, в связку к DepCheck написали DepTrack: https://www.owasp.org/index.php/OWASP_Dependency_Track_Project
Ставится отдельно и настраивается параметрами к DepCheck. Вроде как, умеет сам зеркалировать локальную базу уязвимостей (кэш) и отдавать ее DepCheck по запросу.
Но Первые версии DepTrack у меня не взлетели (ошибки в самом DepTrack были, баг репорты писал), поэтому мы и не допилили его. Но сейчас обещают, что всё исправили и можно пользоваться.
Поддерживает Билль о Материалах и Сводку о необходимом attribution (версии и разношерствность используемых зависимостей)

[chemtech]

Можно ли получить ссылку на DepCheck?
Сообщество будет вам благодарно, если вы напишите статью или инструкцию о том что написали выше.