Správa závislostí
- Zhruba 90 % aplikace je tvořeno cizím kódem - frameworkem, knihovnou atd.
- Checklist pomáhá s ověřením, zda je tento použitý kód aktuální, bezpečný, pochází z důvěryhodných zdrojů a další.
- Ověřte aktuálnost komponent, nejlépe pomocí dependency checkeru během buildu a kompilace.
- Ověřte, zda byly odstraněny všechny nepotřebné funkce, dokumentace, konfigurace, ukázkové účty atd.
- Ověřte, zda jsou aplikační assety (JS knihovny, CSS, fonty…) hostovány externě na CDN a zda je k ověření integrity použita SRI metoda.
- Ověřte původ komponent třetích stran, zda pocházejí z důvěryhodných zdrojů a jsou pravidelně udržovány.
- Ověřte, zda je veden inventář nebo dokumentace všech používaných knihoven třetích stran.
- Ověřte omezení plochy útoku pomocí sandboxu nebo zapouzdření knihoven třetích stran, aby se do aplikace dostalo jen požadované chování.
Kam dál
Zranitelnosti
Cheat sheety