¿Qué es la verificación de dependencia de OWASP?

OWASP Dependency-Check es una herramienta para identificar vulnerabilidades conocidas en las dependencias del proyecto, mientras que OWASP Dependency-Track es una plataforma que administra y rastrea el uso de componentes de software. Dependency-Check escanea en busca de vulnerabilidades y Dependency-Track proporciona una vista integral del panorama general de dependencia de la organización.

Una dependencia de software es un componente o biblioteca del que depende una aplicación de software para funcionar correctamente. Las dependencias pueden incluir bibliotecas, marcos o módulos externos que deben integrarse en la aplicación para que funcione según lo previsto.

Para ejecutar una verificación de dependencia de OWASP, normalmente instala la herramienta Dependency-Check localmente o la integra en su proceso de compilación utilizando herramientas de automatización de compilación como Maven o Jenkins. Una vez configurada, la herramienta escanea las dependencias de su proyecto, identifica las vulnerabilidades conocidas comparándolas con la Base de datos nacional de vulnerabilidades (NVD) y genera un informe que destaca los problemas de seguridad encontrados.

OWASP Dependency-Check se puede integrar en Jenkins para un escaneo de seguridad continuo de las dependencias del proyecto. Los complementos o scripts dentro de Jenkins pueden activar OWASP Dependency-Check para analizar e informar vulnerabilidades en las dependencias.

OWASP Dependency-Check admite múltiples lenguajes de programación comúnmente utilizados en el desarrollo de software, incluidos Java, JavaScript, Ruby, Python, .NET y otros. Analiza las dependencias de proyectos escritos en estos lenguajes para identificar cualquier vulnerabilidad conocida en las bibliotecas o marcos de terceros utilizados dentro del proyecto.