正Man's World

說在前頭：

主要是想要將各種角度的弱掃報告集中在一個平台上看，DT(目前我用4.11版)本身有支援Dojo(2.41版)。

• Defect Dojo 是一個漏洞管理平台，可以收各種Report，有開源版。
• DependencyTrack是一個SBOM收集後比對CVE的平台，開源版。

兩個平台安裝都用官方的docker，五分鐘差不多就起來了。

DT的介面長這樣

想辦法將SBOM塞進來之後，可以自動幫你比對元件是否為曝險版本，如果有就會提供CVE給你，

串接到Dojo的部分，官方文件寫得很清楚： DefectDojo | Dependency-Track

1. 先在dt建立專案，將sbom匯入。
2. 在dojo建立產品，
3. 在dojo產品頁建立CI/CD engagement，並記下這個CI/CD engagement的編號與API Key
4. 回到dt，將串聯dojo的部分設定好
5. 回到dt專案頁，建立屬性。
6. 關鍵：重啟dt的docker，這樣計時器才會正常跑，才能自動匯入。

最終結果先秀一下，
我在DefectDojo上直接可以看到每個專案從SBOM、Acunetix、Sonarqube、Nessus等不同角度查出來的漏洞數量，

依各個軟體產出報告的風險等級列出來，

並且列出可追蹤的項目，包含是否已修補、存在多久、SLA之類的。