Kategorie OWASP „Vulnerable and Outdated Components” upozorňuje na rizika zastaralých závislostí. Vaše aplikace je tak bezpečná jako její nejslabší závislost. Log4Shell ukázal, že jedna zranitelná knihovna může ohrozit miliony systémů.
Skenování závislostí¶
npm audit && npm audit fix pip-audit govulncheck ./… trivy fs –scanners vuln . trivy image myapp:latest
CI/CD integrace¶
GitHub Actions¶
- uses: aquasecurity/trivy-action@master with: scan-type: ‘fs’ severity: ‘HIGH,CRITICAL’ exit-code: ‘1’
Best practices¶
- Aktualizujte pravidelně (Dependabot, Renovate)
- Lockfile vždy commitujte
- Skenujte v CI/CD — blokujte CRITICAL/HIGH
- Minimalizujte závislosti
- Ověřujte integritu (npm integrity, pip –require-hashes)
Klíčový takeaway¶
Automatizujte skenování závislostí v CI/CD. Aktualizujte pravidelně. Každá neaktualizovaná knihovna je potenciální vstupní bod.
owaspsecuritydependenciessupply chain