处理间接易受攻击的第三方依赖项
处理间接易受攻击的第三方依赖项
提问于 2021-08-02 13:58:53
如何修复间接第三方库中的漏洞?假设该漏洞是通过以下链引入的:
通过以下方式介绍:
example-app› express-prometheus-middleware@0.9.6 › prometheus-gc-stats@0.6.3 › gc-stats@1.4.0 › node-pre-gyp@0.13.0 › rc@1.2.8 › ini@1.3.5该漏洞位于ini@1.3.5中,在ini@1.3.6中修复,但Prometheus中间件库没有升级版本。修复这种漏洞的最佳策略是什么?
回答 1
Security用户
发布于 2021-08-02 14:12:32
首先要做的是找出您是否容易受到该漏洞的影响。根据您如何使用依赖项,您可能不会受到攻击。在此过程中,任何依赖项也可能不会以暴露漏洞或其他缓解措施的方式使用依赖项。如果是这样的话,你就不必做任何事情了。
如果你很脆弱,确定是否有什么你能做的。您能在您控制的代码中提供缓解吗?如果没有,您是否可以对下游库进行升级,或者至少提出一个问题,以确保维护人员知道已修补的漏洞,以便更新它们的依赖项?
漏洞本身的存在可能并不那么有意义。它应引发更深入的调查,以了解风险、影响和减轻威胁的潜在行动(如果存在威胁)。
页面原文内容由Security提供。腾讯云小微IT领域专用引擎提供翻译支持
原文链接:
https://security.stackexchange.com/questions/253894
复制相关文章
相似问题
腾讯云开发者
