Kako upravljate sigurnosti zavisnosti?

Question

Accepted Answer

Moderne aplikacije koriste mnogo **vanjskih zavisnosti** (biblioteke, pakete), koje mogu sadržavati **ranjivosti** ili biti zlonamjerne. Upravljanje sigurnosti zavisnosti — skeniranje, ažuriranje i provjera — je važno, jer su ranjive zavisnosti čest vektor napada (OWASP).

## Rizik: zavisnosti su dio vaše površine napada

```text
Apps depend on MANY third-party packages (and their transitive dependencies):
  → a vulnerability in ANY dependency is a vulnerability in YOUR app
  → "using components with known vulnerabilities" is an OWASP Top 10 risk
  → MALICIOUS packages (typosquatting, compromised packages) — supply chain attacks
→ you're trusting/running a lot of code you didn't write.
```

## Upravljanje sigurnosti zavisnosti

```text
✓ SCAN dependencies for known vulnerabilities (SCA tools): npm audit, Dependabot, Snyk,
  OWASP Dependency-Check → integrate into CI (catch per change)
✓ KEEP DEPENDENCIES UPDATED → patch known vulnerabilities (but test updates)
✓ AUTOMATE → Dependabot/Renovate open PRs for vulnerable/outdated deps
✓ MONITOR → vulnerability databases / alerts for your dependencies
```

## Provjera i sigurnost lanca opskrbe

```text
✓ VET dependencies before adding → popularity, maintenance, reputation (avoid abandoned/
  sketchy packages); minimize dependencies (fewer = smaller attack surface)
✓ Beware TYPOSQUATTING (malicious packages with names similar to popular ones)
✓ LOCK versions (lockfiles) for reproducible builds; verify integrity
✓ SBOM (software bill of materials) → know what's in your software
→ Supply chain security is increasingly critical (attacks on the dependency chain).
```

## Zašto je to važno

Razumijevanje sigurnosti zavisnosti je važno jer **moderne aplikacije uvelike ovise o kodu trećih strana koji je dio njihove površine napada**, a ranjive zavisnosti su čest, priznat rizik, pa je to vrijedan sigurnosni znanj.

Aplikacije koriste mnogo zavisnosti (i njihove tranzitivne zavisnosti), što znači da je **ranjivost u bilo kojoj zavisnosti ranjivost u vašoj aplikaciji** — a "korištenje komponenti s poznatim ranjivostima" je rizik OWASP Top 10, dok zlonamjerni paketi (typosquatting, kompromitirani paketi) predstavljaju sve veće prijetnje lanca opskrbe.

Budući da pouzdavate i izvršavate puno koda koji niste napisali, upravljanje sigurnosti zavisnosti je bitno.

Razumijevanje kako to **upravljati** — **skeniranje zavisnosti** za poznate ranjivosti (s alatima SCA kao npm audit, Dependabot i Snyk, integrirani u CI kako bi se problemi uhvatili po promjeni), **ažuriranje zavisnosti** (zakrpljivanje poznatih ranjivosti, s testiranjem ažuriranja), **automatizacija** procesa (Dependabot/Renovate otvaraju pull zahtjeve), i **monitoring** upozorenja o ranjivostima — je praktični pristup održavanju sigurnosti zavisnosti.

Razumijevanje **provjere i sigurnosti lanca opskrbe** — provjera zavisnosti prije dodavanja (provjera popularnosti, održavanja i reputacije kako bi se izbjegao napuštene ili problematične pakete), minimiziranje zavisnosti (manja površina napada), opreznost s **typosquattingom** (zlonamjerni paketi koji imitiraju), zaključavanje verzija za ponovljivost, i korištenje SBOM-a kako bi se znalo što se nalazi u vašem softveru — odražava svjesnost rastućeg kritičnog problema sigurnosti lanca opskrbe (napadi usmjereni na lanac zavisnosti postali su velika prijetnja).

Budući da moderne aplikacije uvelike ovise o kodu trećih strana (značajnom dijelu njihove površine napada) i budući da su ranjive ili zlonamjerne zavisnosti čest, rastući rizik, te budući da je upravljanje sigurnosti zavisnosti (skeniranje, ažuriranje, provjera, świadomost lanca opskrbe) potrebno kako bi se riješio ovaj problem, razumijevanje sigurnosti zavisnosti je vrijedan, praktički relevantan sigurnosni znanj — važan za modernu realnost aplikacija ovisnih o zavisnostima, adresiranje priznatog OWASP rizika i rastućeg rizika lanca opskrbe, te bitno za održavanje koda trećih strana na kojem vaša aplikacija ovisi od postajanja sigurnosnog opterećenja.