Jak spravujete bezpečnost závislostí?

Question

Accepted Answer

Moderní aplikace používají mnoho **třetích stran závislostí** (knihovny, balíčky), které mohou obsahovat **chyby zabezpečení** nebo být škodlivé. Správa bezpečnosti závislostí — jejich skenování, aktualizace a ověřování — je důležitá, protože zranitelné závislosti jsou běžným vektorem útoku (OWASP).

## Riziko: závislosti jsou součástí vaší útočné plochy

```text
Apps depend on MANY third-party packages (and their transitive dependencies):
  → a vulnerability in ANY dependency is a vulnerability in YOUR app
  → "using components with known vulnerabilities" is an OWASP Top 10 risk
  → MALICIOUS packages (typosquatting, compromised packages) — supply chain attacks
→ you're trusting/running a lot of code you didn't write.
```

## Správa bezpečnosti závislostí

```text
✓ SCAN dependencies for known vulnerabilities (SCA tools): npm audit, Dependabot, Snyk,
  OWASP Dependency-Check → integrate into CI (catch per change)
✓ KEEP DEPENDENCIES UPDATED → patch known vulnerabilities (but test updates)
✓ AUTOMATE → Dependabot/Renovate open PRs for vulnerable/outdated deps
✓ MONITOR → vulnerability databases / alerts for your dependencies
```

## Ověřování a bezpečnost dodavatelského řetězce

```text
✓ VET dependencies before adding → popularity, maintenance, reputation (avoid abandoned/
  sketchy packages); minimize dependencies (fewer = smaller attack surface)
✓ Beware TYPOSQUATTING (malicious packages with names similar to popular ones)
✓ LOCK versions (lockfiles) for reproducible builds; verify integrity
✓ SBOM (software bill of materials) → know what's in your software
→ Supply chain security is increasingly critical (attacks on the dependency chain).
```

## Proč je to důležité

Rozdílení bezpečnosti závislostí je důležité, protože **moderní aplikace jsou silně závislé na kódu třetích stran, který je součástí jejich útočné plochy**, a zranitelné závislosti jsou běžné a uznávané riziko, takže je to cenné bezpečnostní vědění.

Aplikace používají mnoho závislostí (a jejich tranzitivních závislostí), což znamená, že **chyba zabezpečení v kterékoli závislosti je chybou zabezpečení ve vaší aplikaci** — a "použití součástí se známými zranitelnostmi" je riziko v TOP 10 OWASP, zatímco škodlivé balíčky (typosquatting, kompromitované balíčky) představují rostoucí hrozby dodavatelského řetězce.

Proto, že důvěřujete a spouštíte velké množství kódu, který jste nepsali, je správa bezpečnosti závislostí nezbytná.

Rozdílení, jak to **spravovat** — **skenování závislostí** pro známé zranitelnosti (s pomocí nástrojů SCA jako npm audit, Dependabot a Snyk, integrovaných do CI pro zachycení problémů v každé změně), **udržování závislostí aktuálních** (oprava známých zranitelností s testováním aktualizací), **automatizace** procesu (Dependabot/Renovate otevírající PR) a **sledování** upozornění na zranitelnosti — je praktickým přístupem k udržení bezpečnosti závislostí.

Rozdílení **ověřování a bezpečnosti dodavatelského řetězce** — ověřování závislostí před jejich přidáním (kontrola popularity, údržby a reputace, aby se zabránilo opuštěným nebo podezřelým balíčkům), minimalizace závislostí (menší útočná plocha), ostražitost vůči **typosquattingu** (škodlivým padělaným balíčkům), uzamykání verzí pro reprodukovatelnost a používání SBOM k poznání obsahu vašeho softwaru — odráží povědomí o stále kritičtější bezpečnosti dodavatelského řetězce (útoky zaměřené na řetězec závislostí se staly hlavní hrozbou).

Proto, že moderní aplikace silně závisí na kódu třetích stran (významná část jejich útočné plochy) a zranitelné nebo škodlivé závislosti jsou běžným a rostoucím rizikem, a proto, že správa bezpečnosti závislostí (skenování, aktualizace, ověřování, povědomí o dodavatelském řetězci) je nezbytná k řešení tohoto problému, je pochopení bezpečnosti závislostí cenným, prakticky relevantním bezpečnostním věděním — důležitá pro moderní realitu aplikací závislých na závislostech, řešení uznávaného rizika OWASP a rostoucí hrozby dodavatelského řetězce, a nezbytné pro zabránění tomu, aby se kód třetích stran, na který se vaše aplikace spoléhá, stal bezpečnostním problémem.