ثغرة التبعيات
ضعف أمني في مكتبات أو حزم الطرف الثالث التي يعتمد عليها التطبيق، والتي يمكن استغلالها لاختراق التطبيق.
التعريف
تستخدم التطبيقات الحديثة مئات التبعيات، مما يخلق سطح هجوم كبير. يتم تتبع ثغرات التبعيات عبر قاعدة بيانات CVE. أدوات مثل npm audit وSnyk وDependabot وOWASP Dependency-Check تفحص الثغرات المعروفة. يحدد تحليل تكوين البرمجيات (SCA) جميع التبعيات، بما في ذلك الانتقالية، ويربطها بـ CVEs المعروفة.
لماذا هو مهم
أظهرت ثغرة Log4Shell (CVE-2021-44228) كيف يمكن لخلل تبعية واحد أن يؤثر على ملايين التطبيقات. يدرج OWASP "المكونات الضعيفة والقديمة" في قائمة Top 10. وفقاً لـ Synopsys، تحتوي 84% من قواعد الكود على ثغرة واحدة على الأقل في تبعيات المصدر المفتوح.
مثال
يقوم مطور بتشغيل npm audit ويكتشف أن lodash الإصدار 4.17.15 بها ثغرة prototype pollution (CVE-2020-8203). يقوم بالترقية إلى lodash 4.17.21 التي تتضمن تصحيح الأمان.