Les applications modernes utilisent de nombreuses dépendances tierces (bibliothèques, packages), qui peuvent contenir des vulnérabilités ou être malveillantes. La gestion de la sécurité des dépendances — les analyser, les mettre à jour et les examiner — est importante, car les dépendances vulnérables sont un vecteur d'attaque courant (OWASP).
Les risques : les dépendances font partie de votre surface d'attaque
Apps depend on MANY third-party packages (and their transitive dependencies):
→ a vulnerability in ANY dependency is a vulnerability in YOUR app
→ "using components with known vulnerabilities" is an OWASP Top 10 risk
→ MALICIOUS packages (typosquatting, compromised packages) — supply chain attacks
→ you're trusting/running a lot of code you didn't write.
