Il tracciamento delle dipendenze è la pratica di identificare e monitorare i componenti software da cui un sistema dipende, incluse librerie dirette, pacchetti transitivi, strumenti di build e servizi esterni. Nella sicurezza informatica, aiuta i difensori a capire quale codice è effettivamente in esecuzione, da dove provengono gli aggiornamenti e quali componenti potrebbero introdurre vulnerabilità o rischi per la supply chain. È strettamente correlato alle software bill of materials, alla gestione delle vulnerabilità e agli approvvigionamenti sicuri.
Gli aggressori prendono spesso di mira le dipendenze perché una sola compromissione può avere effetto su molti sistemi. I rischi comuni includono il caricamento di pacchetti malevoli, il typosquatting, la dependency confusion e la compromissione delle librerie upstream. Un buon tracciamento delle dipendenze supporta difese come il fissaggio delle versioni, la revisione delle dipendenze transitive, la scansione delle vulnerabilità note e la sostituzione o rimozione rapida dei componenti rischiosi. Senza di esso, i team possono applicare patch a una sola applicazione mentre trascurano una libreria nascosta che continua a esporre l'ambiente.