Dependency Güvenliği ve SBOM Yönetimi

Modern yazılım projeleri, yüzlerce üçüncü parti dependency kullanır ve bu bağımlılıklar güvenlik riski oluşturur. Dependency confusion saldırıları, private package name'lerini public registry'lerde kaydederek malicious package injection yapar. Lock file'lar (package-lock.json, yarn.lock, Gemfile.lock) dependency versiyonlarını sabitleyerek sürpriz güncellemeleri önler. Automated dependency updates (Dependabot, Renovate) güvenlik yamalarını otomatik olarak pull request ile önerir. SBOM (Software Bill of Materials), yazılımın tüm bileşenlerini listeler ve SPDX veya CycloneDX formatlarında oluşturulur. Vulnerability databases (NVD, GitHub Advisory Database) bilinen zafiyetleri takip eder ve CVE numaraları atar.