Vulnerabilidad de Dependencias
Una debilidad de seguridad en bibliotecas o paquetes de terceros de los que depende una aplicación, que puede ser explotada para comprometer la aplicación.
Definicion
Las aplicaciones modernas usan cientos de dependencias, creando una gran superficie de ataque. Las vulnerabilidades de dependencias se rastrean a través de la base de datos CVE. Herramientas como npm audit, Snyk, Dependabot y OWASP Dependency-Check escanean vulnerabilidades conocidas. El Análisis de Composición de Software (SCA) identifica todas las dependencias, incluidas las transitivas, y las mapea a CVEs conocidos.
Por que es importante
La vulnerabilidad Log4Shell (CVE-2021-44228) demostró cómo una falla de dependencia puede afectar millones de aplicaciones. OWASP lista "Componentes Vulnerables y Desactualizados" en el Top 10. Según Synopsys, el 84% de las bases de código contienen al menos una vulnerabilidad en dependencias open-source.
Ejemplo
Un desarrollador ejecuta npm audit y descubre que lodash versión 4.17.15 tiene una vulnerabilidad de prototype pollution (CVE-2020-8203). Actualiza a lodash 4.17.21 que incluye el parche de seguridad.