So che lo strumento di controllo delle dipendenze di OWASP è davvero ottimo per trovare le dipendenze vulnerabili e l'ho usato personalmente per scopi sperimentali. Ma qualcuno lo ha usato a livello aziendale, come la scansione di barattoli vulnerabili in un prodotto affermato?
Sì, ho visto questo strumento come una delle dipendenze prima di andare in produzione in un'organizzazione aziendale.
Devo dire che non è impeccabile e richiede abbastanza attenzione a causa di falsi positivi. Questi falsi positivi possono essere inseriti in un file ignore.
Tuttavia, penso che sia un bel "extra" da avere prima di rilasciare un prodotto in produzione.
Leggi altre domande sui tag owasp