2022年04月03日
现代软件应用程序是由数以千计的从公共资源库中获取的第三方组件拼接而成的。这种代码的重用对软件行业有很大的好处,它减少了开发时间和成本,使开发人员能够更快地增加功能,但由于复杂的依赖关系系统往往难以跟踪,它也产生了重大的漏洞管理问题。
继承自第三方代码的漏洞多年来一直困扰着应用程序,但在政府赞助的软件供应链攻击时代,这个问题比以往任何时候都更有意义。软件组合分析工具可以帮助发现其中的一些风险,但微妙的依赖性盲点仍然存在,即使是有安全意识的开发人员也很难抓住所有继承的缺陷。
来自Reversin