¿Está bien no actualizar las dependencias?

1

Al verificar las bibliotecas de terceros utilizadas en los archivos package.json y build.gradle con herramientas como Snyk , permiten la opción de verificar devdependencias. Muchas veces hay vulnerabilidades para estas dependencias. Pero si no se envían y solo se utilizan para pruebas, ¿existe algún riesgo si no se actualizan?

Este blog de Snyk dice que "las dependencias de los desarrolladores son poco importantes". Así que estoy buscando confirmación de que este sea el caso, ya que no están probados de forma predeterminada.

    
pregunta vegedezozu 04.10.2018 - 11:07
fuente

2 respuestas

1

Ellos importan. No actualizar bibliotecas y dependencias dejará su software vulnerable. Cada una de las bibliotecas es parte de la superficie de ataque.

A menos que una actualización rompa su código, actualice tan pronto como la actualización esté disponible. Si la actualización rompe su código, parche el código y actualice. Pero nunca deje una biblioteca obsoleta con errores de seguridad en sus proyectos. Incluso si se utiliza sólo para el desarrollo. Si un día te olvidas de deshabilitarlos, estás en peligro.

    
respondido por el ThoriumBR 04.10.2018 - 17:51
fuente
1

Eso depende de qué son las dependencias y para qué se usan.

Incluso si no se usa una dependencia en producción, si se usa como parte de su proceso de compilación, por ejemplo, es posible que contenga una vulnerabilidad que afecte su código de producción.

De manera similar, una vulnerabilidad en una herramienta de desarrollo podría potencialmente permitir a los atacantes comprometer su PC de desarrollo si esa herramienta procesa datos de entrada que no son de confianza o se conecta a servidores remotos.

Entonces, si bien puede ser cierto que las "vulnerabilidades" de la mayoría en las dependencias de desarrollo no tienen un impacto de seguridad notable, a menos que esté evaluando manualmente cada vulnerabilidad identificada para determinar su impacto en su proyecto Probablemente es mejor mantener todo actualizado. Hay pocos inconvenientes, y las versiones más recientes de las herramientas de desarrollo generalmente tienen muchos otros beneficios además de una mejor seguridad.

    
respondido por el Ajedi32 04.10.2018 - 18:38
fuente

Lea otras preguntas en las etiquetas