Bagaimana anda menguruskan keselamatan dependency?

Question

Accepted Answer

Aplikasi moden menggunakan banyak **dependency pihak ketiga** (library, package), yang boleh mengandungi **kelemahan keselamatan** atau bersifat berniat jahat. Menguruskan keselamatan dependency — mengimbas, mengemas kini, dan menyemaknya — adalah penting, kerana dependency yang terdedah merupakan vektor serangan yang lazim (OWASP).

## Risikonya: dependency adalah sebahagian daripada permukaan serangan anda

```text
Apps depend on MANY third-party packages (and their transitive dependencies):
  → a vulnerability in ANY dependency is a vulnerability in YOUR app
  → "using components with known vulnerabilities" is an OWASP Top 10 risk
  → MALICIOUS packages (typosquatting, compromised packages) — supply chain attacks
→ you're trusting/running a lot of code you didn't write.
```

## Menguruskan keselamatan dependency

```text
✓ SCAN dependencies for known vulnerabilities (SCA tools): npm audit, Dependabot, Snyk,
  OWASP Dependency-Check → integrate into CI (catch per change)
✓ KEEP DEPENDENCIES UPDATED → patch known vulnerabilities (but test updates)
✓ AUTOMATE → Dependabot/Renovate open PRs for vulnerable/outdated deps
✓ MONITOR → vulnerability databases / alerts for your dependencies
```

## Penyemakan dan keselamatan rantaian bekalan

```text
✓ VET dependencies before adding → popularity, maintenance, reputation (avoid abandoned/
  sketchy packages); minimize dependencies (fewer = smaller attack surface)
✓ Beware TYPOSQUATTING (malicious packages with names similar to popular ones)
✓ LOCK versions (lockfiles) for reproducible builds; verify integrity
✓ SBOM (software bill of materials) → know what's in your software
→ Supply chain security is increasingly critical (attacks on the dependency chain).
```

## Mengapa ia penting

Memahami keselamatan dependency adalah penting kerana **aplikasi moden sangat bergantung pada kod pihak ketiga yang menjadi sebahagian daripada permukaan serangan mereka**, dan dependency yang terdedah merupakan risiko yang lazim dan diiktiraf, jadi ia merupakan pengetahuan keselamatan yang bernilai.

Aplikasi menggunakan banyak dependency (dan dependency transitifnya), bermakna **kelemahan dalam mana-mana dependency adalah kelemahan dalam aplikasi anda** — dan "menggunakan komponen dengan kelemahan yang diketahui" merupakan risiko OWASP Top 10, manakala package berniat jahat (typosquatting, package yang dikompromi) mewakili ancaman rantaian bekalan yang semakin meningkat.

Memandangkan anda mempercayai dan menjalankan banyak kod yang tidak anda tulis sendiri, menguruskan keselamatan dependency adalah penting.

Memahami cara untuk **menguruskannya** — **mengimbas dependency** untuk kelemahan yang diketahui (dengan alat SCA seperti npm audit, Dependabot, dan Snyk, diintegrasikan ke dalam CI untuk menangkap isu setiap perubahan), **memastikan dependency dikemas kini** (menampal kelemahan yang diketahui, sambil menguji kemas kini), **mengautomasikan** prosesnya (Dependabot/Renovate membuka PR), dan **memantau** amaran kelemahan — adalah pendekatan praktikal untuk memastikan dependency selamat.

Memahami **penyemakan dan keselamatan rantaian bekalan** — menyemak dependency sebelum menambahnya (memeriksa populariti, penyelenggaraan, dan reputasi untuk mengelakkan package yang terbiar atau meragukan), meminimumkan dependency (permukaan serangan yang lebih kecil), berhati-hati dengan **typosquatting** (package berniat jahat yang serupa nama), mengunci versi untuk kebolehulangan, dan menggunakan SBOM untuk mengetahui apa yang ada dalam perisian anda — mencerminkan kesedaran tentang kebimbangan keselamatan rantaian bekalan yang semakin kritikal (serangan yang menyasarkan rantaian dependency telah menjadi ancaman utama).

Memandangkan aplikasi moden sangat bergantung pada kod pihak ketiga (sebahagian besar daripada permukaan serangan mereka) dan dependency yang terdedah atau berniat jahat merupakan risiko yang lazim dan semakin meningkat, dan memandangkan menguruskan keselamatan dependency (mengimbas, mengemas kini, menyemak, kesedaran rantaian bekalan) diperlukan untuk menangani perkara ini, memahami keselamatan dependency adalah pengetahuan keselamatan yang bernilai dan relevan secara praktikal — penting untuk realiti moden aplikasi yang banyak bergantung pada dependency, menangani risiko OWASP yang diiktiraf dan ancaman rantaian bekalan yang semakin meningkat, dan penting untuk mengelakkan kod pihak ketiga yang menjadi sandaran aplikasi anda daripada menjadi liabiliti keselamatan.