Уязвимость в OpenSource компоненте

Описание

SCA-движок обнаружил в APK сторонний компонент, для которого опубликован CVE. Использование уязвимых библиотек нарушает требованиям «Security & Privacy» Google Play, где разработчики обязаны своевременно устранять известные баги.

Потенциальные последствия

• Удалённое выполнение кода, утечки данных или MITM-атака через уязвимый SDK.
• Блокировка или предупреждение Google Play — приложение помечается в Play Protect и подлежит срочному патчу.

Рекомендации

1. Обновить компонент до исправленной версии
2. Удалить неиспользуемые библиотеки: запустите ./gradlew dependencies --configuration releaseRuntimeClasspath и очистите мёртвый код.

Дополнительные рекомендации

• Зафиксируйте версии зависимостей через Version Catalogs или dependencies.lock — это повысит воспроизводимость и упростит аудит.
• Храните SBOM (CycloneDX json) как артефакт каждого релиза.

Ссылки

1. OWASP DevSecOps — Software Composition Analysis
2. Google Help — Fix apps containing vulnerable libpng
3. OSV.dev — Open Source Vulnerabilities Database