安全Popular
依赖漏洞
应用程序依赖的第三方库或包中的安全弱点,可被利用来危害应用程序。
定义
现代应用程序使用数百个依赖项,创造了巨大的攻击面。依赖漏洞通过CVE(通用漏洞披露)数据库追踪。npm audit、Snyk、Dependabot和OWASP Dependency-Check等工具扫描已知漏洞。软件组成分析(SCA)识别所有依赖项,包括传递性依赖,并将它们映射到已知的CVE。
为什么重要
Log4Shell漏洞(CVE-2021-44228)展示了单个依赖缺陷如何影响数百万应用程序。OWASP在Top 10中列出了"易受攻击和过时的组件"。根据Synopsys的数据,84%的代码库在开源依赖中至少包含一个漏洞。
示例
开发者运行npm audit并发现lodash版本4.17.15存在原型污染漏洞(CVE-2020-8203)。他们升级到包含安全补丁的lodash 4.17.21。
相关术语
dependency vulnerabilityCVE scanningnpm auditsoftware composition analysisSCAvulnerable dependencies