何が起きたか
OWASP は2026年6月9日に Dependency-Track 5.0 を一般提供開始しました(発表は6月3日、GA確認は6月9日)。プロジェクト史上最大規模の再設計(コード名 Hyades)と説明される v5.0 では以下を導入:ステートレス PostgreSQL 調整によるアクティブ/アクティブ高可用性での水平スケーリング;クラッシュに耐えて BOM 処理を正確な障害地点から再開するダラブル実行エンジン;パッケージレジストリハッシュの不一致をフラグ付けして タイポスクワッティングおよびレジストリ改ざんを検出する software supply chain integrity verification;自動化された脆弱性抑制と通知のための CEL ベースのポリシーエンジン;PostgreSQL のみへの標準化(H2/MySQL/SQL Server は廃止);および組み込み Prometheus/Kubernetes 操作サポート。初期採用者は1時間あたり 20,000+ SBOM を取り込み、単一インスタンスで 250,000+ SBOM を保有しています。
なぜ重要か
Dependency-Track は、ソフトウェア supply chain リスク管理のためにエンタープライズおよび政府機関によって使用されている事実上のオープンソース SBOM 分析プラットフォームです。v5.0 の supply chain integrity verification は AI/ML パッケージエコシステムに対して見られるレジストリ改ざんおよびタイポスクワッティング攻撃に直接対処します(例:LiteLLM/PyPI バックドア事件)。プロジェクトは v5 をソフトウェアコンポーネント同様に AI および ML モデル追跡のためのインベントリ基盤として明示的に位置付けています — EU Cyber Resilience Act SBOM 義務が 2027年12月を通じてフェーズインされることが直接関連します。これはインクリメンタルリリースではなく、プラットフォームレベルの機能アップグレードです。
必要な対応
Dependency-Track v4.x から v5.0 への移行を計画してください(PostgreSQL へのオフライン移行が必須;v4.14.x はさらに約6ヶ月間セキュリティ修正を受け取ります)。AI/ML 依存関係のレジストリ側改ざんを検出するために supply chain integrity verification を有効にしてください。EU CRA SBOM コンプライアンスプログラムのために v5 の AI/ML モデルインベントリ機能を評価してください。