Vaše aplikace je tak bezpečná jako její nejslabší závislost. Log4Shell ukázal, že jedna zranitelná knihovna může ohrozit miliony systémů.
Skenování závislostí¶
npm audit && npm audit fix pip-audit govulncheck ./… trivy fs –scanners vuln . trivy image myapp:latest
CI/CD integrace¶
GitHub Actions¶
- uses: aquasecurity/trivy-action@master with: scan-type: ‘fs’ severity: ‘HIGH,CRITICAL’ exit-code: ‘1’
Best practices¶
- Aktualizujte pravidelně (Dependabot, Renovate)
- Lockfile vždy commitujte
- Skenujte v CI/CD — blokujte CRITICAL/HIGH
- Minimalizujte závislosti
- Ověřujte integritu (npm integrity, pip –require-hashes)
Klíčový takeaway¶
Automatizujte skenování závislostí v CI/CD. Aktualizujte pravidelně. Každá neaktualizovaná knihovna je potenciální vstupní bod.
owaspsecuritydependenciessupply chain