Šiuolaikinės programos naudoja daug trečiųjų šalių priklausomybių (bibliotekų, paketų), kurie gali turėti pažeidžiamumus arba būti klastingi. Priklausomybių saugumo vadyba — skenavimas, atnaujinimas ir patikrinimas — yra svarbi, nes pažeidžiamos priklausomybės yra dažna atakos vektoriaus forma (OWASP).
Rizika: priklausomybės yra jūsų atakos paviršiaus dalis
Apps depend on MANY third-party packages (and their transitive dependencies):
→ a vulnerability in ANY dependency is a vulnerability in YOUR app
→ "using components with known vulnerabilities" is an OWASP Top 10 risk
→ MALICIOUS packages (typosquatting, compromised packages) — supply chain attacks
→ you're trusting/running a lot of code you didn't write.
