Apps modernos usam muitas dependências de terceiros (bibliotecas, pacotes), que podem conter vulnerabilidades ou ser maliciosas. Gerenciar a segurança das dependências — escaneá-las, atualizá-las e avaliá-las — é importante, pois dependências vulneráveis são um vetor de ataque comum (OWASP).
O risco: dependências fazem parte de sua superfície de ataque
Apps depend on MANY third-party packages (and their transitive dependencies):
→ a vulnerability in ANY dependency is a vulnerability in YOUR app
→ "using components with known vulnerabilities" is an OWASP Top 10 risk
→ MALICIOUS packages (typosquatting, compromised packages) — supply chain attacks
→ you're trusting/running a lot of code you didn't write.
