项目开发中依赖了很多第三方开源工具，对于其版本，漏洞等因为时间或者是数量太多而无法关注到，Dependency-Track解决这些问题。
Dependency-Track 是一个开源组件分析平台，是开放网络应用安全项目（OWASP）的一项倡议。它旨在持续提供对应用程序组件及其相关风险的可见性。该工具帮助开发团队识别、管理和减少由第三方和内部组件引入的风险。

安装

docker-compose(推荐)

打开连接https://dependencytrack.org/docker-compose.yml，复制其中内容到已有的docker-compose.yml中

dtrack-apiserver:

添加container_name: dtrack-apiserver
在environment块下添加

  - ALPINE_DATABASE_MODE=external- ALPINE_DATABASE_URL=jdbc:mysql://localhost:3306/dtrack?autoReconnect=true&useSSL=false&sessionVariables=sql_mode='ANSI_QUOTES,STRICT_TRANS_TABLES,ONLY_FULL_GROUP_BY,ERROR_FOR_DIVISION_BY_ZERO,NO_AUTO_CREATE_USER,NO_ENGINE_SUBSTITUTION'- ALPINE_DATABASE_DRIVER=com.mysql.cj.jdbc.Driver- ALPINE_DATABASE_USERNAME=root- ALPINE_DATABASE_PASSWORD=mysqlpassword

我这里使用的mysql8
数据库配置可参考

volumes改为

volumes:- ./dependency-track:/data

dtrack-frontend:

添加container_name: dtrack-frontend
environment:下

- API_BASE_URL=http://ip:8081  #改为实际地址

保存后使用以下命令进行启停

docker-compose down
docker-compose up -d

需要注意： 对于两个服务的端口需要确认，防止和现有的业务端口冲突

其他安装方式

可参考 https://github.com/DependencyTrack/dependency-track

生成报告

1. 登录http://ip:8082/login，默认初始账户和密码是 admin / admin
2. 创建项目
3. 进入项目 - 成分 - 上传SBOM，选择已经生成的sbom.xml(生成参考附录)文件，稍等一会后刷新页面，即可看到结果
   

相关内容

sbom文件生成

以上只是简单的了解dtrack其用途和作用，更多功能需要去深入探索。