Hello,
Alors, pour répondre assez rapidement, de plus en plus d'outils de gestions de dépendances (npm, composer, etc...) intègrent eux-même des outils d'analyse de vulnérabilités.
Il existe aussi des outils qui se branchent directement sur les outils de versionning (git, mercurial, etc...) qui permettent de faire ce genre d'analyse. Comme ça, je n'ai que "dependabot" en tête, qui est surtout là pour prévenir qu'il y a des mises à jours à nos dépendances mais qui peut aussi prévenir qu'il y a des vulnérabilités dans celles-ci.
Concernant l'obligation de ces outils en entreprise, ça dépend fortement de l'entreprise. Mais la plupart vont avoir le même mot d'ordre : Vous apprenez qu'il y a une vulnérabilité ? Corrigez-la !. L'exemple récent le plus parlant reste la vulnérabilité qui a été découverte sur la bibliothèque "log4j" qui a beaucoup fait parler d'elle. Je n'ai aucune connaissance qui travaillait avec du java qui n'a pas eu à corriger cette vulnérabilité.
Après, ça reste aussi au développeur de faire ses propres recherches concernant de potentielles failles.
En espérant que ma réponse aura pu t'aider un peu.
Je suppose que d'autres personnes vont répondre aussi à ce sujet.