La fiducia nelle dipendenze è l’assunzione che il codice a monte, i pacchetti e gli artefatti di rilascio siano genuini, invariati e sicuri da installare. Il software moderno si basa su molte librerie di terze parti, quindi gli sviluppatori spesso accettano le dipendenze tramite gestori di pacchetti, strumenti di build e sistemi CI/CD senza esaminare ogni riga di codice.
Questo è importante perché gli aggressori possono abusare di tale fiducia per raggiungere contemporaneamente molti progetti a valle. Se un registro di pacchetti, l’account di un manutentore o una pipeline di rilascio viene compromesso, il codice malevolo può essere distribuito come normale aggiornamento e propagarsi in modo transitive nelle applicazioni, nei container e negli ambienti di produzione. Le difese riducono la fiducia cieca verificando firme e checksum, bloccando le versioni, usando mirror interni, analizzando le dipendenze con l’analisi della composizione software e revisionando gli artefatti di build prima del rilascio. In pratica, la fiducia nelle dipendenze è il punto di controllo che gli aggressori della supply chain cercano di erodere e che i difensori cercano di dimostrare con controlli, policy e tracciabilità.