ak-94 Oct 17 2022 at 19:03

Можно ли доверять библиотекам, которые использует ваше приложение?

2 min

2.8K

Development of mobile applications*Information Security*Programming*

-2

Comments 5

Not_Cat Oct 25 2022 at 14:19

Гениально, для того чтобы проверить библиотеки на уязвимости, надо поставить другую библиотеку, как же я не догадался

ak-94 Oct 25 2022 at 20:57

Вы правы в том, что необходимо добавить еще одну зависимость.

Однако важно понимать отличие в зависимостях: предложенная мной OWASP Dependency-Check просто считывает список библиотек приложения и проверяет, нет ли официально задокументированных случаев уязвимостей с этими библиотеками. К тому же, ее исходный код открыт.

И Вы всегда можете выбрать любой другой инструмент для проверки. Идеи статьи заключалась в том, что здорово было бы использовать какой-нибудь инструмент для анализа зависимостей.

greenkey Oct 26 2022 at 15:27

В этом году актуален другой вопрос. Ограничение зависимостей февралем 2022, и ручной секьюрити в случае выхода оного.

Mikuhairo Oct 26 2022 at 22:31

А как быть с тем, что у OWASP Dependency Check большое количество ложных срабатываний?

ak-94 Oct 30 2022 at 09:04

Здесь нужно конкретно очертить, что Вы подразумеваете под ложными срабатываниями? Как мы понимаем, OWASP Dependency Check просто проверяет, есть ли задокументированные уязвимости для зависимостей, которые используются в проекте. Уязвимости имеют разную критичность, приоритет и свои особенности. Если для Вашего проекта они не являются критичными, то есть возмоность сделать Suppress для них.