Vulnérabilité de Dépendance
Une faiblesse de sécurité dans les bibliothèques ou packages tiers dont dépend une application, qui peut être exploitée pour compromettre l'application.
Definition
Les applications modernes utilisent des centaines de dépendances, créant une grande surface d'attaque. Les vulnérabilités de dépendances sont suivies via la base de données CVE. Des outils comme npm audit, Snyk, Dependabot et OWASP Dependency-Check scannent les vulnérabilités connues. L'Analyse de Composition Logicielle (SCA) identifie toutes les dépendances, y compris transitives, et les mappe aux CVEs connus.
Pourquoi c'est important
La vulnérabilité Log4Shell (CVE-2021-44228) a démontré comment une faille de dépendance peut affecter des millions d'applications. OWASP liste "Composants Vulnérables et Obsolètes" dans le Top 10. Selon Synopsys, 84% des bases de code contiennent au moins une vulnérabilité dans les dépendances open-source.
Exemple
Un développeur exécute npm audit et découvre que lodash version 4.17.15 a une vulnérabilité de prototype pollution (CVE-2020-8203). Il met à jour vers lodash 4.17.21 qui inclut le correctif de sécurité.