7 мая 2024 года OWASP Dependency-Track выпустил новую версию сканера уязвимостей – Dependency-Track v4.11.0. Релиз предлагает множество улучшений, облегчающих работу с инструментом.
Одним из ключевых нововведений стала атомарная обработка SBOM. Теперь ошибки, возникающие в процессе анализа, не приводят к тому, что операция остается незавершенной. Дедупликация компонентов и служб стала более предсказуемой, а создаваемые сообщения в логах содержат дополнительный контекст, что упрощает их корреляцию. Поскольку новая реализация может оказать большое влияние на поведение Dependency‑Track при загрузке SBOM, в релизе она отключена по умолчанию. Ее можно запустить в разделе Администрирование — Experimental.
По заявлению вендора, с этим обновлением логика сканера стала более надежной и эффективной. Мы протестировали настройку и обнаружили, что анализ спецификации стал занимать больше времени. Например, обработка SBOM, состоящего из 199 компонентов с графом зависимостей, заняла 12,54 сек. против 9,02 сек. у старого метода. Поэтому мы рекомендуем оставить эту настройку выключенной.
Еще одно обновление в Dependency‑Track — валидация SBOM‑файла на соответствие формату CycloneDX. Опция активируется по умолчанию, ей можно управлять в панели администратора — BOM Formats.
Мы рекомендуем отключать данную настройку в продуктовом окружении, так как есть вероятность, что используемые вами SBOM‑генераторы не следуют схеме, а значит, будут отклонены сервером Dependency‑Track. Поэтому перед активацией функции следует проверить стабильность загрузки SBOM в тестовом окружении. Влияние данной настройки на время обработки спецификации является незначительным.
Был добавлен новый раздел Vulnerability Audit. Теперь пользователи могут выявлять и фильтровать уязвимости во всех разработках. Если включен контроль доступа к портфолио, отображаются только разрешенные проекты. Есть проверка отдельных результатов или их совокупности, что позволяет находить наиболее распространенные уязвимости.
Доработка показывает, к какому проекту принадлежит определенная уязвимость, однако сделать ее False Positive на глобальном уровне для всех проектов пока нельзя.
Также в данном разделе мы обнаружили проблему с временем загрузки данных: на системе с 128 000 сработок каждая страница открывается в среднем 20 секунд. Это не зависит от выбранного объема записей, поэтому мы рекомендуем устанавливать максимальное значение — 100.
Еще одним улучшением Dependency-Track стала интеграция с анализатором Trivy. Теперь его можно использовать в режиме сервера для анализа уязвимостей проекта.
Также в пользовательский интерфейс инструмента добавлено 12 дополнительных языков, в том числе русский. Переключать их можно в Профиле клиента.
Перевод на другие языки пока неточный (ниже на картинке сравнение оригинальной и русскоязычной версии раздела репозиториев). Это связано с тем, что большинство языков сейчас переводится машинным способом.
Среди прочих улучшений разработчик отметил добавление официальных пакетов Helm для развертывания в Kubernetes (Helm Charts). Их настройка доступна на GitHub.
Также в новой версии сканера изменилась демонстрация количества уязвимостей и политик по критичности их срабатывания и влияния на компоненты.
Теперь число найденных ИБ‑проблем указывается с учетом дубликатов (alias, подсвечено синим цветом) и без (выделено зеленым). Сработавшие политики по возрастанию критичности отмечены синим, оранжевым и красным, а их общее количество — зеленым.
Подводя итог
За неделю после релиза Dependency-Track v4.11.0 в GitHub проекта не появилось критических issue. Можно считать, что версия стабильна и пользователям стоит обновиться. При этом мы не разделяем оптимизм вендора по поводу обработки SBOM и рекомендуем отключить настройку валидации спецификации в продуктовом окружении.