Tarin Gamberini

A software engineer and a passionate java programmer

Controllore di vulnerabilità di dipendenze Java pronto all'uso

La maggior parte del Software Libero o a Sorgente Aperto è costituiti sia da nuovo codice sorgente sia da codice “binario” di terze parti. Quando scriviamo un nuovo software lo facciamo dipendere da molte librerie di terze parti (tali librerie da cui dipende sono anche chiamate dipendenze).

Per dare una idea riguardo a quanto possa essere complesso e profondo il grafo delle dipendenze supponiamo che il nostro nuovo software abbia una dipendenza diretta sulla libreria di terza parte rampart-core-1.3 (sulla sinistra nella figura sopra). Tale libreria dipende a sua volta da librerie di terze parti. Questo secondo livello di librerie di terze parti, rispetto al nostro software, comprende librerie dette dipendenze transitive. Ora pensate che il nostro nuovo software potrebbe avere molte dipendenze dirette ed immaginatevi di quante dipendenze di terze parti potrebbe essere costituito.

Grazie ad alcuni Analizzatori Statici di Codice java pronti all'uso sappiamo come scovare alcuni bug nel codice sorgente, ma cosa possiamo dire dei bug e delle vulnerabilità presenti nelle dipendenze di terze parti?

Il resto di questo post al momento è disponibile solo in inglese.

Diventa un traduttore!

Invia un commento

Un commento è inviato attraverso una normalissima e-mail. Il tuo indirizzo e-mail non sarà pubblicato o diffuso.

Questo blog è moderato, per cui alcuni commenti potrebbero non essere pubblicati. I commenti sono solitamente approvati dal moderatore in uno/tre giorni.