dependências
5 artigos com esta tag
Corrigindo CVEs de dependências de verdade: varrer, corrigir, isolar e seguir vigiando
O trabalho de vulnerabilidade não termina quando você 'corrige'. Pronto = 1) varrer, 2) corrigir, 3) isolar/repassar, 4) monitorar. Até o monitoramento (detecção de mudança diária) estar no lugar, está incompleto — dependências voltam a ser vulneráveis amanhã. Uma correção perfeita que o próximo deploy sobrescreve vale zero. Equipes pequenas se mantêm seguras com duas disciplinas: detecção de mudança automatizada e 'local→push→deploy'.
Instalando e usando o osv-scanner: encontre CVEs nas suas dependências
O osv-scanner escaneia lockfiles e containers para revelar CVEs nas suas dependências, de graça. Este guia percorre a instalação, a execução e a integração ao CI, além de quando usá-lo vs. npm/pnpm audit vs. Dependabot. A visão deste site: a ferramenta certa é decidida pela SUA configuração — use o osv-scanner em projetos multi-ecossistema ou sem GitHub, e o pnpm audit embutido para uma única árvore npm.
Log4Shell (CVE-2021-44228) — a noite em que o mundo temeu um bug que nem conseguia confirmar ter
O bug CVSS 10.0 do Log4j. O verdadeiro medo era a dependência transitiva — ser afetado por uma biblioteca que você nem sabia que usava. Um caminho passivo de logs virou vetor de ataque. SBOM, monitoramento por máquina, patch rápido e acompanhar os CVEs de continuação são as lições.
O backdoor do XZ Utils (CVE-2024-3094) — quando a própria confiança era o alvo
Um mantenedor confiável plantou um backdoor no xz — um ataque à cadeia de suprimentos. O 'isto parece lento' de um engenheiro o pegou pouco antes da versão estável. O alvo não era o código — eram as pessoas e a confiança. Minimize dependências, fixe versões, faça builds reprodutíveis, persiga anomalias e apoie os mantenedores.
Rodando Next.js com segurança: não ficar para trás nos CVEs publicados
O maior risco de framework são CVEs publicados e negligenciados. Defenda com quatro pilares: julgue pela versão em execução, monitore com Dependabot/osv-scanner, atualize rápido e rode com menor privilégio. A visão deste site: desenvolvedores indie perdem não por conhecimento, mas por continuidade operacional — vença com um sistema que não deixa escapar, não com velocidade.