Vulnerabilidade de Dependência
Uma fraqueza de segurança em bibliotecas ou pacotes de terceiros dos quais uma aplicação depende, que pode ser explorada para comprometer a aplicação.
Definicao
Aplicações modernas usam centenas de dependências, criando uma grande superfície de ataque. Vulnerabilidades de dependências são rastreadas via banco de dados CVE. Ferramentas como npm audit, Snyk, Dependabot e OWASP Dependency-Check escaneiam vulnerabilidades conhecidas. A Análise de Composição de Software (SCA) identifica todas as dependências, incluindo transitivas, e as mapeia para CVEs conhecidos.
Por que e importante
A vulnerabilidade Log4Shell (CVE-2021-44228) demonstrou como uma falha de dependência pode afetar milhões de aplicações. OWASP lista "Componentes Vulneráveis e Desatualizados" no Top 10. Segundo Synopsys, 84% das bases de código contêm pelo menos uma vulnerabilidade em dependências open-source.
Exemplo
Um desenvolvedor executa npm audit e descobre que lodash versão 4.17.15 tem uma vulnerabilidade de prototype pollution (CVE-2020-8203). Ele atualiza para lodash 4.17.21 que inclui o patch de segurança.