Sé que la herramienta de verificación de dependencia de OWASP es realmente buena para encontrar dependencias vulnerables y la he usado personalmente para fines experimentales. Pero, ¿alguien lo ha utilizado a nivel empresarial, como buscar frascos vulnerables en un producto establecido?
Sí, he visto esta herramienta como una de las dependencias antes de ir a la producción en una organización de nivel empresarial.
Tengo que decir que no es impecable y requiere bastante atención debido a falsos positivos. Estos falsos positivos se pueden colocar en un archivo de ignorar.
Sin embargo, creo que es un buen "extra" tener antes de lanzar un producto a producción.
Lea otras preguntas en las etiquetas owasp