Comment les dépendances sont-elles vérifiées pour les vulnérabilités ?
amaise vérifie automatiquement toutes les dépendances tierces à chaque build :
Outil | Langage | Comportement |
OWASP Dependency Check | Java | Build échoue si CVSS ≥ 7 |
Snyk | Python | Surveillance continue avec alertes |
npm audit | TypeScript | À chaque build |
pip-audit | Python | À chaque build |
Des vérifications de licences sont également effectuées : les licences copyleft (AGPL, GPLv3, SSPL) sont bloquées dans tous les langages afin d’éviter les risques liés à la chaîne d’approvisionnement.
Toutes les dépendances sont figées à une version précise (pas de versions flottantes). Les runtimes et frameworks utilisés sont maintenus sur les versions principales LTS actuelles. Les dépendances proviennent exclusivement de registres officiels (Maven Central, PyPI, npm).