我读过许多关于程序依赖项中的漏洞的文章,无论是直接的还是传递的。
以下是我脑海中浮现的两个问题。如果依赖项A在其函数foo()中存在漏洞(可能有CVE标识符),那么我将此依赖项A包含在我的应用程序中。如果我的代码没有调用foo()函数,我的程序是否仍然易受攻击?我知道它是特定于语言的,所以如果这种情况发生在python、javascript或Java或PHP中会发生什么?开发依赖项中的漏洞(例如: DevDependencies列在package.json for Javascript中)实际上重要吗?我