tag
相依套件管理
該標籤下有 5 篇文章
2026-06-11
漏洞(CVE)處置實務:徹底修復,並持續監控復發
漏洞處置不是『修了』就完事。完成=①掃描②修復③隔離/移交④監控四點齊備才算數。尤其在加上監控(每日變化偵測)之前都算未完成——因為相依套件明天又可能變得脆弱。修復內容哪怕100分,只要下一次部署就被覆蓋,也等於0分。越是小團隊,越能靠自動變化偵測和『local→push→deploy』的紀律守得出奇地穩。
2026-06-11
osv-scanner 的安裝與使用:用機器找出相依套件裡的 CVE
osv-scanner 是一款免費工具,掃描鎖定檔或容器以排查相依套件中的 CVE。本文把安裝、執行、CI 整合做成步驟,並理清它與 npm/pnpm audit、Dependabot 的取捨。本站的觀點=選工具的正確答案由『你的架構』決定。多語言混用或不依賴 GitHub 就用 osv-scanner,單一 npm 用內建的 pnpm audit 就夠了。
2026-06-07
Log4Shell(CVE-2021-44228)——讓全世界一夜之間為『不知道自己是否在用』的漏洞而戰慄的一天
Log4j 的漏洞(CVSS 10.0)。本質在於『經由間接相依(傳遞性相依),在不知不覺中正在使用』的恐怖。日誌輸出這一被動處理成了攻擊通道。SBOM 與相依套件的機器化監控、迅速修補、對後續 CVE 的追蹤,都是教訓所在。
2026-06-07
XZ Utils 後門(CVE-2024-3094)——『信任本身』被瞄準的供應鏈事件
壓縮函式庫 xz 中被一名贏得信任的維護者植入了後門的供應鏈攻擊。在即將進入穩定版的前一刻,一名技術人員憑『慢』這一違和感把它攔下。被瞄準的不是程式碼,而是『人與信任』。教訓是:把相依套件最小化、固定版本、提高可重現性、追蹤違和感、支援維護者。
2026-06-07
安全維運 Next.js:建立不在已公開CVE上掉隊的機制
框架的最大風險是放任已公開的CVE。以正式環境實際版本判定,用 Dependabot/osv-scanner 做機器監控,迅速更新,並以最小權限防守,構成四根支柱。本站的視角=個人開發者輸掉的不是知識,而是『維運的可持續性』。靠不漏看的機制取勝,而非速度。