Dependencias de Implementacion
{height=180px}
5.2 Dependencias
La gestión de dependencias de software se describe en la actividad Dependencias de Software de SAMM, que a su vez forma parte de la práctica de seguridad Construcción Segura de SAMM dentro de la función de negocio Implementación.
Es importante registrar todas las dependencias utilizadas en todo el entorno de producción de la aplicación. Esto puede lograrse mediante el Análisis de Composición de Software (SCA) para identificar las dependencias de terceros.
Una Lista de Materiales de Software (SBOM) proporciona un registro de las dependencias dentro del sistema/aplicación, y ofrece información sobre cada dependencia para que pueda ser rastreada:
- Dónde se utiliza o referencia
- Versión utilizada
- Licencia
- Información de origen y repositorio
- Estado de soporte y mantenimiento de la dependencia
Disponer de un SBOM proporciona la capacidad de averiguar rápidamente qué aplicaciones se ven afectadas por una Vulnerabilidad y Exposición Común (CVE) específica, o qué CVEs están presentes en una aplicación particular.
Secciones:
5.2.1 Dependency-Check
5.2.2 Dependency-Track
5.2.3 CycloneDX
Traducción de versión original en inglés.
La Guía del Desarrollador de OWASP es un esfuerzo comunitario; si hay algo que necesita cambiarse entonces cree un issue o edítelo en GitHub.
\newpage