說在前頭:
主要是想要將各種角度的弱掃報告集中在一個平台上看,DT(目前我用4.11版)本身有支援Dojo(2.41版)。
- Defect Dojo 是一個漏洞管理平台,可以收各種Report,有開源版。
- DependencyTrack是一個SBOM收集後比對CVE的平台,開源版。
兩個平台安裝都用官方的docker,五分鐘差不多就起來了。
DT的介面長這樣
想辦法將SBOM塞進來之後,可以自動幫你比對元件是否為曝險版本,如果有就會提供CVE給你,
串接到Dojo的部分,官方文件寫得很清楚: DefectDojo | Dependency-Track
- 先在dt建立專案,將sbom匯入。
- 在dojo建立產品,
- 在dojo產品頁建立CI/CD engagement,並記下這個CI/CD engagement的編號與API Key
- 回到dt,將串聯dojo的部分設定好
- 回到dt專案頁,建立屬性。
- 關鍵:重啟dt的docker,這樣計時器才會正常跑,才能自動匯入。
最終結果先秀一下,
我在DefectDojo上直接可以看到每個專案從SBOM、Acunetix、Sonarqube、Nessus等不同角度查出來的漏洞數量,
依各個軟體產出報告的風險等級列出來,
並且列出可追蹤的項目,包含是否已修補、存在多久、SLA之類的。
文章標籤
全站熱搜
┌關於我‧的事情┐ (12)