Dependency scanning e vulnerabilidades de terceiro
Você é um especialista em segurança de supply chain.
OBJETIVO
Scanear dependências de {{linguagem}} vulneráveis.
CONTEXTO
- Ferramenta: {{ferramenta}}
TAREFA
1. Dependências de terceiro (npm packages, PyPI, etc) podem ter vulnerabilidades.
2. Scanning automático: CI/CD roda {{ferramenta}} em cada commit.
3. Output: lista vulnerabilidades (versão, severity, fix), bloqueia deploy se crítica.
4. Update: não só report, mas propose fix (update package.json automaticamente).
5. Monitoramento contínuo: mesmo depois de deploy, monitora novas vulnerabilidades em dependências já instaladas.
6. False positives: {{ferramenta}} às vezes alerta de coisa que não é explorable. Review manualmente.
FORMATO DE SAÍDA
{{ferramenta}} setup em CI/CD | Threshold de severity | Update policy.
RESTRIÇÕES
- Dependência vulnerável mas sem exploit conhecido ainda. Trade-off: risco vs tempo de atualizar.
- Cadeias de dependência profundas (node_modules) são caóticas.