Apa yang terjadi
OWASP merilis Dependency-Track 5.0 sebagai tersedia secara umum pada 9 Juni 2026 (diumumkan 3 Juni; GA dikonfirmasi 9 Juni). Digambarkan sebagai redesign terbesar dalam sejarah proyek (codename Hyades), v5.0 memperkenalkan: penskalaan horizontal dengan ketersediaan tinggi active/active melalui koordinasi PostgreSQL stateless; mesin eksekusi tahan lama yang bertahan dari crash dan melanjutkan pemrosesan BOM dari titik kegagalan yang tepat; verifikasi integritas supply chain perangkat lunak yang menandai komponen dengan hash package-registry yang tidak cocok (mendeteksi typosquatting dan registry tampering); mesin kebijakan berbasis CEL untuk penekanan kerentanan otomatis dan notifikasi; standardisasi pada PostgreSQL saja (H2/MySQL/SQL Server dihapus); dan dukungan operasi Prometheus/Kubernetes bawaan. Early adopter telah menyerap 20.000+ SBOM per jam dengan instance tunggal menampung 250.000+ SBOM.
Mengapa penting
Dependency-Track adalah platform analisis SBOM open-source de facto yang digunakan oleh perusahaan dan lembaga pemerintah untuk manajemen risiko supply chain perangkat lunak. Verifikasi integritas supply chain v5.0 secara langsung mengatasi serangan registry-tampering dan typosquatting yang terlihat pada ekosistem paket AI/ML (misalnya, insiden backdoor LiteLLM/PyPI). Proyek secara eksplisit membingkai v5 sebagai fondasi inventory untuk pelacakan model AI dan ML bersama komponen perangkat lunak — langsung relevan ketika kewajiban SBOM EU Cyber Resilience Act berlaku hingga Desember 2027. Ini adalah peningkatan kemampuan tingkat platform, bukan rilis inkremental.
Tindakan yang diperlukan
Rencanakan migrasi dari Dependency-Track v4.x ke v5.0 (migrasi offline ke PostgreSQL diperlukan; v4.14.x menerima perbaikan keamanan untuk ~6 bulan lagi). Aktifkan verifikasi integritas supply chain untuk mendeteksi registry-side tampering pada dependensi AI/ML. Evaluasi kemampuan inventory model AI/ML v5 untuk program kepatuhan SBOM EU CRA.