何が起きたか
OWASPは2026年6月9日(発表は6月3日、GA確認は6月9日)にDependency-Track 5.0を一般提供としてリリースしました。プロジェクト史上最大の再設計(コードネーム Hyades)と説明されるv5.0は以下を導入します:ステートレスPostgreSQL調整による能動的/能動的高可用性での水平スケーリング、クラッシュから復旧しBOM処理を正確な失敗ポイントから再開できる永続実行エンジン、パッケージレジストリハッシュの不一致をフラグする(タイポスクワッティングとレジストリ改ざんを検出)ソフトウェアサプライチェーン整合性検証、自動脆弱性抑制および通知用のCELベースのポリシーエンジン、PostgreSQLのみへの標準化(H2/MySQL/SQL Serverは廃止)、および組み込みPrometheus/Kubernetesオペレーション対応。早期導入者は1時間あたり20,000以上のSBOMを取り込んでおり、単一インスタンスは250,000以上のSBOMを保持しています。
なぜ重要か
Dependency-Trackは、ソフトウェアサプライチェーンリスク管理のためにエンタープライズおよび政府機関によって使用される事実上のオープンソースSBAM分析プラットフォームです。v5.0のサプライチェーン整合性検証は、AI/MLパッケージエコシステムに対して観測されたレジストリ改ざんおよびタイポスクワッティング攻撃に直接対応します(例えば、LiteLLM/PyPIバックドア事件)。このプロジェクトはv5を明確にAIおよびMLモデルトラッキングのためのソフトウェアコンポーネント同様のインベントリ基盤としてフレーム化しています — EU Cyber Resilience Act SBOM義務が2027年12月を通じてフェーズインするにつれて直接関連があります。これは段階的なリリースではなく、プラットフォームレベルの機能アップグレードです。
必要な対応
Dependency-Track v4.xからv5.0への移行を計画してください(PostgreSQLへのオフライン移行が必要です。v4.14.xはさらに約6ヶ月間セキュリティ修正を受け取ります)。AI/ML依存関係のレジストリ側改ざんを検出するためにサプライチェーン整合性検証を有効にしてください。EU CRA SBOMコンプライアンスプログラムのためにv5のAI/MLモデルインベントリ機能を評価してください。