search

🎒Dependances

hashtag
Outils

hashtag
cdxgen

cdxgen permet de créer des BOM (Bills Of Materials) CycloneDX à partir du code source d'un projet.

Exemple d'utilisation:

$ cdxgen -t java -o bom.json

Ressource: https://github.com/CycloneDX/cdxgenarrow-up-right

hashtag
Dependency-track

Dependency-track permet de monitorer les dependances d'un projet et leurs CVE associées.

Ressource: https://github.com/DependencyTrack/dependency-trackarrow-up-right

hashtag
Méthodologie

circle-exclamation

Note: Cette méthodologie nécessite d'avoir un accès au code source de l'application.

hashtag
1. Génération d'un SBOM au format CycloneDX

Dans un premier temps, on génére un SBOM (Software Bill Of Materials) au format CycloneDX avec cdxgen.

Commande:

hashtag
2. Lancement d'un serveur dependence-track

Téléchargement du docker compose:

$ curl -LO https://dependencytrack.org/docker-compose.yml

puis,

$ docker-compose up -d

Accéder au front-end à l'url http://0.0.0.0:8080.

circle-info

Note: les identifiants par défaut sont admin:admin

hashtag
3. Création d'un projet et analyse de vulnérabilités

De là, il existe deux solutions qui sont soit de passer par le front-end directement, soit de passer par l'API REST de dependency-track.

hashtag
Solution Front-end

Aller dans Project > Create Project,

Créer un projet, puis uploader le fichier bom.json dans le nouveau projet (onglet Components > bouton Upload BOM)

hashtag
Solution Back-end

Générer une API Key via le front-end: http://0.0.0.0:8080/admin/accessManagement/teamsarrow-up-right

Upload le fichier bom.json via l'endpoint API REST:

PrécédentBluetooth (Android)SuivantiOS

Mis à jour