Vulnerable and Outdated Components
這類弱點的涵蓋範圍也很廣,主要是指專案使用了有弱點或者版本過舊的元件。
作為開發者,我們很常聽到的一句話就是「不要重複造輪子」,也因為當前軟體界開源的風氣盛行,大家的專案中或多或少的都會去引用一些知名好用的第三方套件,像是apache commons-lang3 以及之前講過的log4j都是很好的例子。除了這些小的套件之外,專案使用的框架也有可能會有弱點,諸如Strus、Spring...等等。
為了避免使用到有弱點的套件、或者未來這個套件被發現有弱點,定期將的使用OWASP Dependency-Check這個工具去做檢查是個不錯的選擇。
https://owasp.org/www-project-dependency-check/