Va bene non aggiornare devdependencies?

Naviga le tue risposte
1

Quando controlli librerie di terze parti usate in package.json e build.gradle file con strumenti come Snyk , permettono l'opzione di controllare devdependencies. Un sacco di tempo ci sono vulnerabilità per queste dipendenze. Ma se non vengono spediti e usati solo per i test, c'è qualche rischio che non li si aggiorni?

Questo blog Snyk dice che "le dipendenze degli sviluppatori contano poco". Quindi sto cercando la conferma che questo è il caso, in quanto non sono testati di default.

    
posta vegedezozu 04.10.2018 - 11:07
fonte

2 risposte

1

Hanno importanza. Il mancato aggiornamento di librerie e dipendenze lascerà il tuo software vulnerabile. Ciascuna delle librerie fa parte della superficie di attacco.

A meno che un aggiornamento non rompa il codice, aggiorna non appena l'aggiornamento è disponibile. Se l'aggiornamento interrompe il codice, correggi il codice e aggiorna. Ma non lasciare mai una libreria obsoleta con bug di sicurezza nei tuoi progetti. Anche se usato solo per lo sviluppo. Se un giorno ti dimentichi di disabilitarli, sei in pericolo.

    
risposta data 04.10.2018 - 17:51
fonte
1

Dipende da cosa sono le dipendenze e da cosa sono usate.

Anche se una dipendenza non viene utilizzata in produzione, ad esempio se viene utilizzata come parte del processo di generazione, è possibile che possa contenere una vulnerabilità che influisce sul codice di produzione.

Allo stesso modo, una vulnerabilità in uno strumento di sviluppo potrebbe potenzialmente consentire a utenti malintenzionati di compromettere il PC di sviluppo se tale strumento elabora dati di input non attendibili o si connette a server remoti.

Quindi, anche se è vero che le maggior "vulnerabilità" nelle dipendenze di sviluppo non hanno alcun impatto notevole sulla sicurezza, a meno che non stiate valutando manualmente ciascuna vulnerabilità identificata per determinare il suo impatto sul progetto probabilmente è meglio tenere tutto aggiornato. C'è un piccolo svantaggio e le versioni più recenti degli strumenti di sviluppo di solito offrono molti altri vantaggi oltre a una migliore sicurezza.

    
risposta data 04.10.2018 - 18:38
fonte

Leggi altre domande sui tag

XSS via MIME annusa un XSS memorizzato o riflesso? Come rilevare quando uno o più dispositivi nella mia rete locale sono diventati nodi di attacco DDOS?