Dependency-Scanning prüft die Software-Abhängigkeiten (Libraries, Frameworks, Pakete) eines Projekts automatisch auf bekannte Schwachstellen. Werkzeuge wie Dependabot, Snyk oder OWASP Dependency-Check gleichen die eingesetzten Versionen mit CVE-Datenbanken ab.
Moderne Anwendungen bestehen zu 80-90 % aus Drittanbieter-Code. Eine einzige verwundbare Bibliothek kann das gesamte Produkt kompromittieren — Log4Shell hat das 2021 eindrücklich gezeigt. Dependency-Scanning gehört deshalb in jede CI/CD-Pipeline. Gute Scanner liefern nicht nur CVE-Nummern, sondern auch Informationen über erreichbare Codepfade und verfügbare Patches.