MASTG-TEST-0274: Dependências com Vulnerabilidades Conhecidas no SBOM do Aplicativo

Visão Geral

Neste caso de teste, estamos identificando dependências com vulnerabilidades conhecidas por meio da utilização de uma Lista de Materiais de Software (SBOM).

Passos

1. Solicite à equipe de desenvolvimento que compartilhe uma SBOM no formato CycloneDX ou, se você tiver acesso ao código-fonte original, crie uma seguindo o procedimento Análise de Composição de Software (SCA) de Dependências Android através da Criação de uma SBOM.
2. Faça o upload da SBOM para a ferramenta rastreamento de dependências.
3. Inspecione o projeto na rastreamento de dependências para verificar o uso de dependências vulneráveis.

Observação

A saída deve incluir uma lista de dependências com nomes e identificadores CVE, se houver.

Avaliação

O caso de teste falha se for possível encontrar dependências com vulnerabilidades conhecidas.