Вышел релиз Dependency-Track v4.11: обзор обновлений16.05.2024 10:30

7 мая 2024 года OWASP Dependency-Track выпустил новую версию сканера уязвимостей — Dependency-Track v4.11.0. Релиз предлагает множество улучшений, облегчающих работу с инструментом.

7d0691b143e076188df59497c8f49acc.jpg

Одним из ключевых нововведений стала атомарная обработка SBOM. Теперь ошибки, возникающие в процессе анализа, не приводят к тому, что операция остается незавершенной. Дедупликация компонентов и служб стала более предсказуемой, а создаваемые сообщения в логах содержат дополнительный контекст, что упрощает их корреляцию. Поскольку новая реализация может оказать большое влияние на поведение Dependency-Track при загрузке SBOM, в релизе она отключена по умолчанию. Ее можно запустить в разделе Администрирование — Experimental. 

По заявлению вендора, с этим обновлением логика сканера стала более надежной и эффективной. Мы протестировали настройку и обнаружили, что анализ спецификации стал занимать больше времени. Например, обработка SBOM, состоящего из 199 компонентов с графом зависимостей, заняла 12,54 сек. против 9,02 сек. у старого метода. Поэтому мы рекомендуем оставить эту настройку выключенной.

Активация настройки обработки SBOM

Активация настройки обработки SBOM

Еще одно обновление в Dependency-Track — валидация SBOM-файла на соответствие формату CycloneDX. Опция активируется по умолчанию, ей можно управлять в панели администратора — BOM Formats.

Мы рекомендуем отключать данную настройку в продуктовом окружении, так как есть вероятность, что используемые вами SBOM-генераторы не следуют схеме, а значит, будут отклонены сервером Dependency-Track. Поэтому перед активацией функции следует проверить стабильность загрузки SBOM в тестовом окружении. Влияние данной настройки на время обработки спецификации является незначительным.

Настройка включения валидации SBOM-файла

Настройка включения валидации SBOM-файла

Заметно улучшился интерфейс раздела Vulnerability Audit. Теперь пользователи могут выявлять и фильтровать уязвимости во всех разработках. Если включен контроль доступа к портфолио, отображаются только разрешенные проекты. Есть проверка отдельных результатов или их совокупности, что позволяет находить наиболее распространенные уязвимости.

Глобальный аудит уязвимостей

Глобальный аудит уязвимостей

Доработка показывает, к какому проекту принадлежит определенная уязвимость, однако сделать ее False Positive на глобальном уровне для всех проектов пока нельзя.

Одна и та же уязвимость появляется в нескольких проектах, но глобальное управление отсутствует

Одна и та же уязвимость появляется в нескольких проектах, но глобальное управление отсутствует

Также в данном разделе мы обнаружили проблему с временем загрузки данных: на системе с 128 000 сработок каждая страница открывается в среднем 20 секунд. Это не зависит от выбранного объема записей, поэтому мы рекомендуем устанавливать максимальное значение — 100.

Время обработки запроса

Время обработки запроса

Еще одним улучшением Dependency-Track стала интеграция с анализатором Trivy. Теперь его можно использовать в режиме сервера для анализа уязвимостей проекта.

Также в пользовательский интерфейс инструмента добавлено 12 дополнительных языков, в том числе русский. Переключать их можно в Профиле клиента.

Переключение языков

Переключение языков

Перевод на другие языки пока неточный (ниже на картинке сравнение оригинальной и русскоязычной версии раздела репозиториев). Это связано с тем, что большинство языков сейчас переводится машинным способом.

Перевод страницы репозиториев на русский язык

Перевод страницы репозиториев на русский язык

Среди прочих улучшений разработчик отметил добавление официальных пакетов Helm для развертывания в Kubernetes (Helm Charts). Их настройка доступна на GitHub. 

Также в новой версии сканера изменилась демонстрация количества уязвимостей и политик по критичности их срабатывания и влияния на компоненты. 

Политика и компонент, на который она сработала

Политика и компонент, на который она сработала

Теперь число найденных ИБ-проблем указывается с учетом дубликатов (alias, подсвечено синим цветом) и без (выделено зеленым). Сработавшие политики по возрастанию критичности отмечены синим, оранжевым и красным, а их общее количество — зеленым.

Уязвимости и сработавшие политик в проекте

Уязвимости и сработавшие политик в проекте

Подводя итог

За неделю после релиза Dependency-Track v4.11.0 в GitHub проекта не появилось критических issue. Можно считать, что версия стабильна и пользователям стоит обновиться. При этом мы не разделяем оптимизм вендора по поводу обработки SBOM и рекомендуем отключить настройку валидации спецификации в продуктовом окружении.

© Habrahabr.ru