- No conoces las versiones de todos los componentes (directos y transitivos)
- Usas software sin soporte, desactualizado o vulnerable
- No escaneas regularmente por vulnerabilidades
- No actualizas o parcheas plataformas subyacentes
- Desarrolladores no prueban compatibilidad antes de actualizar
??HIGH�OWASP #6
?? Vulnerable & Outdated Components
Uso de biblioéééticas, frameworks o componentes con vulnerabilidades conocidas. La cadena de suministro de software es un vector de ataque cr�ético.
�Cuióndo eres vulnerable?
Detección
Comandos? Escaneo
# NPM Audit npm audit npm audit fix # Snyk snyk test # Python pip-audit safety check # Java (Maven) mvn org.owasp:dependency-check-maven:check
Ejemplos Notables
CVE-2021-44228
Log4Shell
RCE en Log4j, afect� millones de aplicaciones Java.
CVE-2024-3094
XZ Utils Backdoor
Backdoor en librer�a de compresión, supply chain attack.