事件经过
OWASP于2026年6月9日发布了Dependency-Track 5.0的正式版本(宣布于6月3日;正式版确认于6月9日)。该版本被描述为项目历史上最大的重新设计(代号Hyades),v5.0引入了:通过无状态PostgreSQL协调的活跃/活跃高可用性的水平扩展;在崩溃后存活并从精确故障点恢复BOM处理的持久执行引擎;标记具有不匹配的包-注册表哈希值的组件的软件供应链完整性验证(检测仿冒域名和注册表篡改);用于自动化漏洞抑制和通知的基于CEL的策略引擎;仅标准化为PostgreSQL(H2/MySQL/SQL Server已移除);以及内置的Prometheus/Kubernetes操作支持。早期采用者已每小时摄取20,000+个SBOM,单个实例持有250,000+个SBOM。
影响分析
Dependency-Track是企业和政府机构用于软件供应链风险管理的事实上的开源SBOM分析平台。v5.0的供应链完整性验证直接应对了在AI/ML包生态系统中观察到的注册表篡改和仿冒域名攻击(例如LiteLLM/PyPI后门事件)。该项目明确将v5定位为AI和ML模型追踪与软件组件并行的清单基础——这与欧盟网络韧性法案SBOM义务于2027年12月前分阶段实施的相关性直接相关。这是平台级功能升级,而不是增量发布。
建议行动
计划从Dependency-Track v4.x迁移到v5.0(需要离线迁移到PostgreSQL;v4.14.x在约6个月内继续接收安全修复)。启用供应链完整性验证以检测AI/ML依赖项的注册表端篡改。评估v5的AI/ML模型清单功能,用于欧盟CRA SBOM合规计划。