依存ライブラリの脆弱性とは

依存ライブラリの脆弱性とは、システムが組み込んで利用する外部のライブラリ・パッケージ・フレームワークに含まれる既知のセキュリティ欠陥です。現代のWebシステムは多数の外部部品の上に成り立っており、自作コードが健全でも、依存先に欠陥があればそこを突かれて攻撃が成立します。

サイト売買で注意すべきは、依存ライブラリが古いバージョンのまま放置され、公表済みの脆弱性が未対策で残っているケースです。多くの脆弱性には公開された情報と攻撃手法が存在するため、放置された依存関係は攻撃者にとって格好の標的になります。長く更新されていない事業ほど依存が時代遅れになりがちで、レガシーシステムの問題と重なります。依存関係を棚卸しし、危険なバージョンが含まれていないかを確認することが重要です。

RIKKA M&Aの技術デューデリジェンス（/tech-dd）は、依存脆弱性を評価軸のひとつに据え、ソースコード保守性やインフラ構成と併せて精査し、更新に要する修正コストを人日ベースで概算します。