OWASP Dependency-Scan (OWASP dep-scan) – это мощный инструмент с открытым исходным кодом, предназначенный для анализа безопасности и оценки рисков программных проектов. Он сканирует зависимости проекта, включая внешние библиотеки и фреймворки, и проверяет их на наличие известных уязвимостей, несоответствий рекомендациям безопасности и нарушений лицензионных ограничений.
Одним из ключевых преимуществ OWASP dep-scan является его способность работать с различными источниками входных данных. Он поддерживает локальные репозитории пакетов, такие как Maven, NPM, NuGet и другие, а также может анализировать образы контейнеров, что делает его совместимым с платформами для автоматизированного создания, развертывания и управления контейнерами (ASPM/VM).
Благодаря гибкой интеграции с системами непрерывной интеграции и непрерывной доставки (CI/CD), OWASP dep-scan может быть легко встроен в процессы разработки программного обеспечения. Это позволяет своевременно выявлять и устранять проблемы безопасности на ранних стадиях, снижая риски и затраты на исправление уязвимостей в будущем.
OWASP dep-scan использует несколько источников данных для получения информации о уязвимостях:
- OSV
- NVD
- GitHub
- NPM
- Linux vuln-list (с опцией –cache-os)
Он также учитывает рекомендации по безопасному использованию библиотек и фреймворков, а также проверяет соблюдение лицензионных ограничений, что особенно важно для проектов с открытым исходным кодом. Кэролайн Рассел, ведущий инженер по безопасности в AppThreat, отмечает следующие важнейшие функции OWASP dep-scan:Широкая совместимость с различными языками программирования и конфигурациями исходного кода. Dep-scan использует фреймворк cdxgen для создания спецификаций программного обеспечения (SBOM), что позволяет поддерживать многочисленные языки, среды разработки и типы проектов.
- Гибкие возможности экспорта результатов анализа в различных форматах, включая настраиваемые отчеты на основе шаблонизатора Jinja, JSON-документы в соответствии со стандартами CycloneDX Vulnerability Disclosure Report (VDR) и Common Security Advisory Framework (CSAF) 2.0. Это облегчает интеграцию с другими инструментами и системами.
- Анализ доступности исходного кода с использованием фреймворка AppThreat/atom для генерации фрагментов кода. Эта функция помогает выявить уязвимости, связанные с неправильным использованием безопасных API или отсутствием необходимых проверок входных данных.
- Углубленный аудит пакетов на предмет рисков, связанных с путаницей зависимостей (dependency confusion) и рисками обслуживания (maintainability risks). Dep-scan проверяет корректность зависимостей проекта и анализирует их историю обновлений и поддержки разработчиками, что позволяет своевременно выявлять потенциальные угрозы безопасности.
OWASP dep-scan доступен бесплатно на GitHub