Уязвимость зависимостей
Уязвимость безопасности в сторонних библиотеках или пакетах, от которых зависит приложение и которые могут быть использованы для компрометации приложения.
Определение
Современные приложения используют сотни зависимостей, создавая большую поверхность атаки. Уязвимости зависимостей отслеживаются через базу данных CVE (Common Vulnerabilities and Exposures). Инструменты npm audit, Snyk, Dependabot и OWASP Dependency-Check сканируют на известные уязвимости. Software Composition Analysis (SCA) идентифицирует все зависимости, включая транзитивные, и сопоставляет их с известными CVE.
Почему это важно
Уязвимость Log4Shell (CVE-2021-44228) продемонстрировала, как один дефект зависимости может затронуть миллионы приложений. OWASP включает "Vulnerable and Outdated Components" в Top 10. По данным Synopsys, 84% кодовых баз содержат минимум одну уязвимость в open-source зависимостях.
Пример
Разработчик запускает npm audit и обнаруживает, что lodash версии 4.17.15 имеет уязвимость prototype pollution (CVE-2020-8203). Он обновляется до lodash 4.17.21, которая включает патч безопасности.