Benachrichtigung für neu auftretende Schwachstelle in Dependency Track

Why

Als DevOps Engineer möchte ich bei einer neu auftretenden Schwachstelle in den von Dependency Track überwachten Repositories benachrichtigt werden, um möglich schnell die Schwachstelle zu prüfen und gegebenenfalls zu fixen.

Links, Notes, Remarks

https://docs.dependencytrack.org/integrations/notifications/
Benachrichtigung in Teams Channel sollte möglich sein. Es muss geprüft werden, ob unterschiedliche Project in unterschiedliche Channels pushen können. Dadruch könnten wir die Teams auch über ihre Schwachstellen direkt informieren. Des Weiteren sollte es eine Konfigurationsmöglichkeit geben, um die Benachrichtigung abhängig von der CVE Severity (z. B. nur CRITICAL und HIGH soll benachrichtigt werden) zu machen.

Acceptance criteria

1. Bei einer neu auftretenden Schwachstelle gibt es einen Push in einen Teams-Channel
2. Benachrichtigung kann abhängig von der CVE Severity eingestellt werden

Implementation plan (to be completed by the developer)

• Prüfen wie man eine T(eams-)Benachrichtigung in Dependency Track konfiguriert
• Teams/ö.A. Konfiguration prüfen
• Dependency Track Konfiguration durchführen
• Testen
• Definition of Done was checked.