Apa yang terjadi
OWASP merilis Dependency-Track 5.0 sebagai tersedia secara umum pada 9 Juni 2026 (diumumkan 3 Juni; GA dikonfirmasi 9 Juni). Dijelaskan sebagai redesign terbesar dalam sejarah proyek (codename Hyades), v5.0 memperkenalkan: penskalaan horizontal dengan ketersediaan tinggi aktif/aktif melalui koordinasi PostgreSQL stateless; mesin eksekusi tahan lama yang bertahan dari crash dan melanjutkan pemrosesan BOM dari titik kegagalan yang tepat; verifikasi integritas rantai pasokan perangkat lunak yang menandai komponen dengan hash paket-registry yang tidak cocok (mendeteksi typosquatting dan manipulasi registry); mesin kebijakan berbasis CEL untuk penekan kerentanan otomatis dan notifikasi; standardisasi pada PostgreSQL saja (H2/MySQL/SQL Server dihapus); dan dukungan operasi Prometheus/Kubernetes bawaan. Adopter awal telah mengingestkan 20.000+ SBOM per jam dengan instansi tunggal menampung 250.000+ SBOM.
Mengapa penting
Dependency-Track adalah platform analisis SBOM open-source de facto yang digunakan oleh perusahaan dan lembaga pemerintah untuk manajemen risiko rantai pasokan perangkat lunak. Verifikasi integritas rantai pasokan v5.0 secara langsung mengatasi serangan manipulasi registry dan typosquatting yang terlihat pada ekosistem paket AI/ML (misalnya, insiden backdoor LiteLLM/PyPI). Proyek secara eksplisit membingkai v5 sebagai fondasi inventaris untuk pelacakan model AI dan ML bersama dengan komponen perangkat lunak — relevan secara langsung karena kewajiban SBOM EU Cyber Resilience Act berlangsung hingga Desember 2027. Ini adalah peningkatan kemampuan tingkat platform, bukan rilis inkremental.
Tindakan yang diperlukan
Rencanakan migrasi dari Dependency-Track v4.x ke v5.0 (migrasi offline ke PostgreSQL diperlukan; v4.14.x menerima perbaikan keamanan selama ~6 bulan lagi). Aktifkan verifikasi integritas rantai pasokan untuk mendeteksi manipulasi sisi registry dari dependensi AI/ML. Evaluasi kemampuan inventaris model AI/ML v5 untuk program kepatuhan SBOM EU CRA.