Retour au cours

SCA : Analyse de la composition logicielle

DevSecOps Moderne (La Méthode Forte)

Le problème des dépendances vulnérables

Les applications modernes sont composées à 80 % de bibliothèques tierces. Si vos paquets npm ou pip sont vulnérables, votre application l'est aussi.

Outil : Trivy

Trivy scanne les dépendances du projet pour trouver des CVE (Common Vulnerabilities and Exposures) connues.

Commande :

trivy fs . (Scanner le système de fichiers actuel). Il vous fournira une liste des vulnérabilités critiques ou élevées dans vos fichiers package-lock.json ou requirements.txt.