Если вы используете сканер уязвимостей OWASP Dependency Track, у нас для вас важная новость: через пару дней вы перестанете получать обновления из базы уязвимостей NVD, если не перейдете на новую версию продукта.
Дело в том, что NVD (National Vulnerability Database – национальная база уязвимостей), которую использует OWASP Dependency Track, с 15 декабря 2023 отключает механизм доступа через data feeds и оставляет доступ только через API.
8 декабря 2023 авторы Dependency Track выпустили версию 4.10.0, в который добавлена поддержка обращений к NVD по API, правда пока что не по умолчанию. В качестве решения проблем с нестабильностью API был реализован алгоритм экспоненциальной выдержки, что должно помочь в загрузке фидов при ошибках на стороне NVD.
Как рекомендуется действовать после обновления на новый релиз:
Шаг первый: получите ключ доступа к API – это бесплатно, но нужно указать организацию и почту;
Шаг второй: перейдите в раздел администратора – Vulnerability Sources – National Vulnerability Database и активируйте опцию Enable mirroring via API, указав свой ключ в поле API key;
Шаг третий: нажмите Update.
Опция Additionally download feeds может быть полезна, если вы используете другое решение от OWASP под названием Dependency Check версии 8.x и хотите продолжать получать стабильные обновления баз уязвимостей, используя Dependency Track как зеркало для обновлений. Для новых версий Dependency Check этот способ работать не будет, однако доработка зеркала обсуждается в тикете.
Среди прочих изменений, в релиз Dependency Track 4.10 вошли следующие доработки:
Поддержка новых полей из стандарта CycloneDX: metadata.supplier, metadata.manufacturer, metadata.authors и component.supplier
Поддержка аутентификации в публичных репозиториях
Поддержка Github как источника метаданных по компонентам
Иные мелкие улучшения и исправления багов
