Уязвимые зависимости

Использование библиотек с известными уязвимостями подвергает приложение риску.

СигнатураVulnerable and Outdated Components

Уязвимые зависимости — это сторонние библиотеки и фреймворки с известными уязвимостями (CVE). Даже безупречный собственный код небезопасен, если уязвима подключённая библиотека.

Как защититься: ведите учёт зависимостей, регулярно обновляйте их, используйте сканеры (например pip-audit, npm audit, Dependabot), удаляйте неиспользуемые пакеты, следите за бюллетенями безопасности.

# Проверка зависимостей на известные уязвимости
# $ pip-audit            # для Python
# $ npm audit            # для Node.js

# Фиксируйте версии в requirements.txt и регулярно обновляйте
# requests==2.32.3

← Все записи: Веб-уязвимости и защита