Passer au contenu principal

Comment les dépendances sont-elles vérifiées pour les vulnérabilités ?

Écrit par amaise Support

Comment les dépendances sont-elles vérifiées pour les vulnérabilités ?

amaise vérifie automatiquement toutes les dépendances tierces à chaque build :

Outil

Langage

Comportement

OWASP Dependency Check

Java

Build échoue si CVSS ≥ 7

Snyk

Python

Surveillance continue avec alertes

npm audit

TypeScript

À chaque build

pip-audit

Python

À chaque build

Des vérifications de licences sont également effectuées : les licences copyleft (AGPL, GPLv3, SSPL) sont bloquées dans tous les langages afin d’éviter les risques liés à la chaîne d’approvisionnement.

Toutes les dépendances sont figées à une version précise (pas de versions flottantes). Les runtimes et frameworks utilisés sont maintenus sur les versions principales LTS actuelles. Les dépendances proviennent exclusivement de registres officiels (Maven Central, PyPI, npm).

Avez-vous trouvé la réponse à votre question ?