Перейти к содержимому
>_ITDITDПлатформа веб-безопасности
tag

зависимости

5 статей с этим тегом

2026-06-11

Как по-настоящему закрывать CVE в зависимостях: сканировать, исправлять, изолировать и продолжать следить

Работа с уязвимостями не закончена, когда вы «исправили». Готово = 1) скан, 2) фикс, 3) изоляция/передача, 4) мониторинг. Пока не налажен мониторинг (ежедневное обнаружение изменений), это незавершённо — зависимости снова станут уязвимыми завтра. Идеальное исправление, которое перезаписывает следующий деплой, стоит ноль. Малые команды остаются в безопасности за счёт двух дисциплин: автоматического обнаружения изменений и «локально→push→деплой».

2026-06-11

Установка и использование osv-scanner: найти CVE в ваших зависимостях

osv-scanner сканирует lock-файлы и контейнеры, выявляя CVE в ваших зависимостях, бесплатно. Здесь разобраны установка, запуск и интеграция в CI, плюс когда применять его vs npm/pnpm audit vs Dependabot. Взгляд этого сайта: правильный инструмент определяется ВАШЕЙ конфигурацией — берите osv-scanner для проектов с несколькими экосистемами или без GitHub, и встроенный pnpm audit для одного npm-дерева.

2026-06-07

Log4Shell (CVE-2021-44228) — ночь, когда мир боялся бага, наличие которого не мог даже подтвердить

Баг CVSS 10.0 в Log4j. Настоящий страх — транзитивная зависимость: быть затронутым через библиотеку, об использовании которой вы не знали. Пассивный путь логирования стал вектором атаки. SBOM, машинный мониторинг, быстрый патчинг и отслеживание последующих CVE — вот уроки.

2026-06-07

Бэкдор XZ Utils (CVE-2024-3094) — когда целью было само доверие

Доверенный мейнтейнер внедрил бэкдор в xz — атака на цепочку поставок. «Это работает медленно» одного инженера поймало это прямо перед стабильным релизом. Целью был не код, а люди и доверие. Минимизируйте зависимости, закрепляйте версии, собирайте воспроизводимо, преследуйте аномалии и поддерживайте мейнтейнеров.

2026-06-07

Безопасный запуск Next.js: не отставать от опубликованных CVE

Главный риск фреймворка — заброшенные опубликованные CVE. Защищайтесь четырьмя столпами: судите по работающей версии, мониторьте Dependabot/osv-scanner, быстро обновляйтесь и работайте с минимумом привилегий. Взгляд этого сайта: инди-разработчики проигрывают не на знаниях, а на операционной непрерывности — побеждайте системой, которая не пропускает, а не скоростью.

← Все теги