Foire Aux Questions (FAQ)

Il n'y a pas de limite intégrée au nombre de SBOM logiciels qui peuvent être analysés. À ce stade, notre base de données peut suivre plus de 187 000 vulnérabilités. Elle peut également suivre plusieurs milliers d'applications.

Nos abonnements de licence ont une limite, contactez-nous pour une offre personnalisée si vous en avez besoin.

Oui, bien sûr, et vous devriez le faire. Consultez notre documentation de l'API.

Ces services ne font pas partie de notre support standard. Nous avons les compétences en interne et pouvons les proposer dans le cadre d'accords spécifiques de projet.

Contactez-nous pour toute demande spéciale.

Oui, tout ce que vous pouvez faire avec l'interface utilisateur peut être automatisé via une API REST, consultez notre documentation.

Consultez le chapitre Données du Client dans notre Accord SaaS.

Dans votre Dependency Track, sous le projet, les vulnérabilités d'audit, vous pouvez ajouter un commentaire, catégoriser, justifier et ajouter des détails.

Toutes les informations sont conservées dans un journal d'audit disponible uniquement dans votre locataire.

Vous pouvez extraire les SBOMs en suivant le guide dans notre fiche de triche ou en demandant à votre fournisseur de logiciels.

Nous proposons différents forfaits mensuels et annuels en fonction du nombre d'utilisateurs et de projets.

Consultez notre page de Tarification.

Notre moteur d'analyse intelligent assure que les scores de risque de vos applications sont actualisés lorsque cela est nécessaire, c'est-à-dire à chaque fois qu'une nouvelle vulnérabilité affecte l'un de vos composants logiciels.

Les nouvelles vulnérabilités logicielles publiées sont importées au moins une fois par jour dans votre base de données cloud personnelle et privée. En configurant des alertes, vous serez immédiatement informé si l'un de vos composants est en danger, sans même avoir besoin de vous connecter à notre solution.

1. En tant qu'utilisateur, vous pouvez administrer votre propre compte depuis la page https://auth.yoursky.blue/realms/<YourTenant>/account/, en remplaçant 'YourTenant' par le nom du locataire reçu lors de la mise en service.
2. Sélectionnez 'Connexion'
   

   

3. Sélectionnez ensuite 'Configurer l'application d'authentification' et suivez le guide

En tant qu'administrateur, vous pouvez configurer l'authentification MFA comme politique par défaut pour tous les utilisateurs depuis la console d'administration.

Vous recevrez une alerte dès que de nouvelles vulnérabilités affectant l'un de vos projets sont découvertes. Les cibles des alertes doivent être configurées au préalable. Nous prenons en charge nativement Slack, Teams, les e-mails, et nous pouvons certainement cibler facilement votre canal de communication préféré.

Les scanneurs d'antivirus et de logiciels malveillants détectent les codes malveillants soit au repos, soit juste avant l'exécution. Un agent doit être installé sur chaque ordinateur. Ces scanneurs ne détectent les menaces que lorsqu'elles sont déjà dans le système.

En revanche, les scanneurs de vulnérabilités logicielles suivent les faiblesses connues en se basant sur une description normalisée de tous les composants logiciels de votre système (SBOM). La surveillance peut être effectuée hors ligne avant la mise en production du système et met en évidence toutes les vulnérabilités logicielles potentielles. Il vous permet de mieux connaître votre système, de vous concentrer sur un plan d'action prioritaire pour atteindre les objectifs de conformité, ce qui signifie que vous pouvez investir du temps et des ressources là où cela est le plus nécessaire pour renforcer votre sécurité.

Il est fréquent que les logiciels malveillants exploitent des vulnérabilités connues. La correction des vulnérabilités logicielles équivaut à fermer la porte à la plupart des menaces de logiciels malveillants. Il s'agit d'une action proactive qui fonctionne en amont des scanneurs d'antivirus et de logiciels malveillants.

Les scanneurs d'antivirus et de vulnérabilités logicielles fournissent des lignes de défense complémentaires.

Mettre à jour les logiciels est essentiel, et vous devriez évidemment continuer à le faire. Cependant, cela est insuffisant si vous ne suivez pas également les composants qui ne reçoivent plus de mises à jour régulières.

De tels composants devenant lentement obsolètes ou abandonnés vous mettront, vous ou vos clients, en danger. Sans utiliser un outil automatisé, les personnes peuvent à peine suivre les composants de premier niveau et n'auront la plupart du temps que les composants profondément imbriqués.

Notre solution signale tous les composants, y compris les plus profonds, qui présentent des risques de sécurité. Le temps et l'énergie ainsi économisés peuvent ensuite être investis de manière plus efficace pour répondre aux menaces restantes.

Si vous contrôlez complètement la durée de vie d'une version et pouvez garantir qu'elle n'est plus utilisée dans le monde entier (par exemple : site Web Facebook), alors le suivi de toutes les versions jamais publiées n'est pas adapté. Il s'agit d'un cas spécial pour lequel il serait préférable de surveiller uniquement la version actuelle.

Vous choisiriez le mode `Cloud - single version` lors de votre commande dans ce cas.

Il est possible de générer des SBOM pour pratiquement toutes les plateformes et technologies que vous pourriez imaginer. Consultez notre etLink(documentation.retrieve-sbom, fiche de triche).

Même si vous fournissez les mêmes fonctionnalités sur chaque plateforme, elles reposent sur différents composants logiciels (bibliothèques) et peuvent souffrir de vulnérabilités différentes. Pour cette raison, vous devez générer un SBOM pour chaque plateforme pour laquelle vous compilez.

Comme chaque plateforme est suivie individuellement et peut avoir des cycles de sortie différents, nous exigeons que vous achetiez une licence différente pour chaque plateforme.

Cela est détaillé sur notre page de produit.

Vous recevrez un e-mail personnel avec des informations pour accéder à votre instance personnelle et privée de Dependency Track, ainsi que des instructions détaillées pour vos premiers pas.

Slack, Microsoft Teams, Webhooks, Webex de Cisco sont des plates-formes de notification prises en charge.

Consultez le Tableau de vue d'ensemble de l'intégration.

Notre solution surveille toutes les applications pour lesquelles vous nous avez envoyé le SBOM. Elle n'est pas limitée et peut donc le faire pour l'ensemble de votre portefeuille d'applications si vous le souhaitez. Elle analysera toutes les vulnérabilités logicielles et la conformité des licences.

Toutes les versions que vous avez soumises pendant la validité de votre licence continueront d'être surveillées pour les vulnérabilités. Vous avez même le droit de continuer à utiliser notre indicateur pour ces versions sur votre site Web. Ainsi, lorsque vous cessez de payer les frais annuels, la seule chose que vous perdez réellement est la possibilité de soumettre de nouveaux SBOM.

Votre score pourrait diminuer à mesure que de nouvelles vulnérabilités sont découvertes dans les anciennes versions.

Consultez notre chapitre sur la résiliation dans notre Accord SaaS.

Notre solution est conçue pour les entreprises de toutes tailles qui ont la maturité nécessaire pour se concentrer sur l'ensemble de leur chaîne d'approvisionnement. Tous les fournisseurs de logiciels et les entreprises proactives peuvent bénéficier de notre solution.

Dans nos offres standard, nous fournissons un support pour accéder à la solution et stocker vos données en toute sécurité. Nous fournissons toutes les infrastructures et nous arrêtons à la frontière du logiciel.

En particulier, il n'y a pas de support inclus pour la gestion de vos données, telles que les transferts de données, l'intelligence des données, le nettoyage des données, l'audit de sécurité, ...

Ces services peuvent être acquis séparément si nécessaire, veuillez nous contacter si vous avez besoin que nos experts vous aident pour ces missions.

L'interface utilisateur prend en charge plusieurs langues :

• Allemand
• Anglais
• Espagnol
• Français
• Hindi
• Italien
• Japonais
• Polonais
• Portugais
• Portugais (Brésil)
• Russe
• Ukrainien
• Chinois

Les utilisateurs peuvent modifier leur préférence de langue dans les paramètres de leur profil.

Notre support de service est proposé en :

• Allemand
• Anglais
• Espagnol
• Français

Nous travaillons actuellement sur le développement de notre stratégie de médias sociaux et de notre plan de contenu, et nous prévoyons de commencer à publier du contenu bientôt. Nous comprenons l'importance d'être actifs sur les médias sociaux et de dialoguer avec notre public, nous partagerons des mises à jour sur notre progression sur notre site Web et d'autres canaux.

Nous vous encourageons à suivre nos comptes de médias sociaux dès maintenant pour rester informé de nos progrès et être le premier à savoir quand nous commencerons à publier du contenu. Vous pouvez toujours nous contacter ou utiliser nos comptes de médias sociaux pour nous joindre avec des questions ou des commentaires.

Notre scanneur de vulnérabilités logicielles contribue immédiatement à renforcer votre cybersécurité. En travaillant en amont et en complément des antivirus, vous obtenez une connaissance claire et approfondie de toutes les failles de sécurité potentielles affectant vos applications.

Les deux utilisent la même version du Dependency-Track open source.

Avec la version gratuite, vous devez consacrer vos propres ressources et du temps.

Avec notre solution basée sur le cloud, vous obtenez tout inclus : la solution est disponible et opérationnelle quelques minutes seulement après la commande, configurée selon les normes de sécurité les plus élevées. Nous exploitons la solution pour vous, nous nous occupons des tests, des mises à jour, des sauvegardes, nous adaptons la capacité au besoin, et nous vous offrons une assistance directe en cas de difficultés. Vos données sont conservées en toute sécurité dans un espace personnel dédié.

En bonus, vous avez accès à un espace Keycloak préconfiguré pour que vous puissiez facilement activer l'authentification à deux facteurs ou l'intégrer à votre annuaire utilisateur existant. Ce n'est pas obligatoire, mais nous croyons fermement que c'est une option essentielle pour protéger vos données.

Notre décision d'héberger exclusivement en Suisse est basée sur notre engagement envers la confidentialité et la sécurité des données. La Suisse dispose de certaines des lois et réglementations sur la protection des données parmi les plus strictes au monde, offrant un cadre juridique robuste qui garantit la confidentialité et l'intégrité de vos données. En choisissant l'hébergement en Suisse, nous offrons à nos clients la tranquillité d'esprit en sachant que leurs informations sensibles sont stockées dans un pays réputé pour sa neutralité, sa stabilité et son respect strict des normes de confidentialité.

Bien que nous utilisions actuellement l'hébergement suisse pour garantir les plus hauts niveaux de protection des données, nous évaluons continuellement des options pour améliorer l'accessibilité mondiale. Cela inclut l'exploration de partenariats et de technologies qui peuvent optimiser les performances et offrir un accès efficace à nos clients dans le monde entier.

Oui, nous travaillons activement à l’obtention des certifications ISO 27001 et SOC 2, ce qui reflète notre engagement envers des normes élevées en matière de sécurité, de disponibilité et de fiabilité opérationnelle. Tout au long de ce processus, nous restons concentrés sur le renforcement de nos contrôles internes et de notre maturité opérationnelle afin de non seulement atteindre, mais également dépasser ces normes rigoureuses.

Cela devrait être le nombre d'individus éligibles à utiliser la solution pendant la période.

Par exemple, dans une entreprise de 500 personnes, si seule une équipe de 12 utilise la solution, 12 est le nombre d'utilisateurs pour notre solution.

Plus tard, si un membre quitte l'entreprise et qu'un autre change d'équipe, et que vous révoquez leur accès sans en attribuer de nouveaux, vous pouvez nous en informer et nous réduirons le nombre d'utilisateurs à 10 pour votre prochain renouvellement d'abonnement.

Il s'agit du nombre d'entrées de projet dans Dependency-Track qui ont au moins un composant, y compris les projets marqués comme inactifs.

Par exemple, si vous souhaitez suivre à la fois la version 1 et la version 2 de votre produit, vous pourriez créer un projet parent pour regrouper les projets des versions 1 et 2. Cela compterait toujours comme 2 projets car le projet parent n'a pas de composants. Plus tard, si vous créez un projet supplémentaire pour la version 3 et marquez la version 1 comme inactive, cela compterait comme 3 projets. Cependant, si vous supprimez complètement la version 1, le compteur revient à 2.

Si votre produit comprend plusieurs parties, telles qu'un frontend, un backend et plusieurs microservices, il est important de déterminer le niveau approprié pour suivre les vulnérabilités. Si le suivi à un niveau supérieur est adéquat, vous pouvez utiliser la commande cyclonedx-cli merge pour regrouper certains SBOMs et réduire le nombre de projets requis.

Pour compter le nombre total de projets que vous utilisez, dans la vue des projets, activez la colonne Composants et activez les options Afficher les projets inactifs et Afficher les projets à plat. Vous pouvez obtenir le même résultat avec le point de terminaison de l'API.

Nous comprenons qu'il est un peu gênant que Dependency-Track ne trie pas actuellement sur la colonne Composants, mais nous pourrions proposer une meilleure solution à l'avenir.

Nous pouvons adapter nos méthodes de paiement pour répondre à vos besoins.

Veuillez contacter notre service client pour des conseils détaillés sur la façon de procéder avec votre méthode de paiement préférée.

Activer l'authentification unique (SSO) permettra à vos utilisateurs d'entreprise de se connecter à Dependency Track SaaS via votre fournisseur d'identité d'entreprise (IdP), simplifiant ainsi le processus de connexion et facilitant grandement la gestion des utilisateurs. Pour plus d'informations sur les avantages du SSO, consultez notre article détaillé. Votre instance Keycloak est déjà préconfigurée pour agir en tant que broker intermédiaire pour Dependency Track SaaS, ne laissant que la délégation à votre IdP d'entreprise à configurer.

Veuillez noter :
La configuration du SSO nécessite des configurations coordonnées à la fois dans votre IdP d'entreprise et dans Keycloak pour établir une confiance mutuelle. Les étapes de configuration de votre IdP varieront en fonction de la plateforme que vous utilisez (par exemple, Entra ID, Okta, Google Workspace, etc.). Nous vous recommandons de consulter la documentation de votre IdP pour des instructions détaillées, qui impliquent généralement de créer un profil client ou d'application.

1. Accéder à la console d'administration de Keycloak : Accédez à https://auth.yoursky.blue/admin/<YourTenant>/console/, en remplaçant YourTenant par le nom du locataire que vous avez reçu lors du processus d'intégration.
2. Ajouter un fournisseur d'identité : Ouvrez Identity Providers, sélectionnez votre fournisseur d'identité et remplissez toutes les informations requises. Assurez-vous que cela correspond au profil client/application que vous avez créé dans votre IdP d'entreprise.
3. Tester la configuration : Essayez de vous connecter à votre instance Dependency Track SaaS pour vérifier la configuration.
4. Ajuster les permissions : Modifiez les paramètres de groupe et de mappage selon les besoins pour les aligner sur vos exigences de contrôle d'accès.

Si vous avez des exigences de sécurité supplémentaires, telles que l'authentification multifactorielle (MFA), assurez-vous qu'elles sont configurées dans votre IdP pour une couche de protection supplémentaire.