Melhorias no Processo de Identificação de Componentes Vulneráveis: Decidindo Sobre Atualizações

Resumo

Aplicativos 1 podem conter vulnerabilidades por vários motivos, um dos quais é o uso de componentes vulneráveis. Uma das soluções adotadas para eliminar as vulnerabilidades inseridas por esses componentes é atualizar o componente para uma versão mais recente que corrija a vulnerabilidade. No entanto, a atualização de um componente pode exigir a refatoração de código, atualizar outros componentes e inserir novas vulnerabilidades no aplicativo. Existem várias ferramentas que realizam a análise e gerenciamento de dependências dos projetos, mas poucas ferramentas apresentam informações sobre vulnerabilidades das novas versões, incompatibilidades e atualizações das dependências dos componentes. Este artigo, portanto, apresenta dep | ct (retratar), uma ferramenta que visa identificar os componentes vulneráveis ​​conhecidos utilizados pelas aplicações e auxiliar na decisão sobre a atualização de tais componentes, a fim de mitigar as vulnerabilidades adicionadas aos projetos através de as dependências vulneráveis. Os resultados da avaliação empírica realizada em dois projetos mostram que a ferramenta pode ser usada para auxiliar na decisão sobre a atualização de componentes vulneráveis ​​conhecidos.