Skip to content
Latchkey

推移的依存関係とは?

推移的依存関係とは、プロジェクトが間接的に依存するパッケージです。あなたがAに依存し、AがBに依存する場合、Bはあなたの推移的依存関係です。現代のプロジェクトでは、直接依存よりもはるかに多くの推移的依存を持つことがよくあります。名前を挙げたことがなくても、それらは依然としてあなたのソフトウェアの一部であり、攻撃対象領域の一部です。

なぜ重要か

ほとんどのサプライチェーンの脆弱性は、明示的に選んだことのない推移的依存関係を通じて入ってきます。lockfileがそれらを固定し、SBOMがそれらを棚卸しし、スキャナーがそれらにフラグを立てます。だからこそ、直接依存だけを管理していると、コードの大部分が把握されないままになります。

関連する概念

  • lockfileによって捕捉され固定される
  • 完全なSBOMに列挙される
  • サプライチェーン攻撃の一般的な経路

関連ガイド