A modern alkalmazások sok harmadik féltől származó függőséget (könyvtárakat, csomagokat) használnak, amelyek sebezhetőségeket tartalmazhatnak vagy rosszindulatúak lehetnek. A függőségek biztonságának kezelése — szkennerlésen, frissítésen és ellenőrzésén keresztül — fontos, mivel a sebezhetőségekkel rendelkező függőségek egy közös támadási vektor (OWASP).
A kockázat: a függőségek a támadási felület részét képezik
Apps depend on MANY third-party packages (and their transitive dependencies):
→ a vulnerability in ANY dependency is a vulnerability in YOUR app
→ "using components with known vulnerabilities" is an OWASP Top 10 risk
→ MALICIOUS packages (typosquatting, compromised packages) — supply chain attacks
→ you're trusting/running a lot of code you didn't write.
