Informationen zur Gefährdung für sicherheitsanfällige Abhängigkeiten
Deine Gefährdung für sicherheitsanfällige Abhängigkeiten auszuwerten, ist entscheidend, wenn du Folgendes verhindern möchtest:
-
Kompromittierung der Lieferkette. Bei einem Angriff können Sicherheitsrisiken in Open-Source- oder Drittanbieterabhängigkeiten ausgenutzt werden, um bösartigen Code einzuschleusen, erhöhte Rechte zu erlangen oder sich nicht autorisierten Zugriff auf deine Systeme zu verschaffen. Kompromittierte Abhängigkeiten können böswillig Handelnden als indirekte Einstiegspunkte dienen und zu weitreichenden Sicherheitsincidents führen.
-
Breit gestreute Weitergabe von Risiken. Sicherheitsanfällige Abhängigkeiten werden häufig in mehreren Anwendungen und Diensten wiederverwendet. Das heißt, dass ein einzelner Fehler sich innerhalb deiner Organisation verbreiten und das Risiko sowie die Auswirkungen von Exploits verschlimmern kann.
-
Ungeplante Downtime und Betriebsunterbrechung. Die Ausnutzung von Abhängigkeitsrisiken kann zu Anwendungsausfällen, verminderter Dienstqualität oder Fehlern in kritischen Systemen führen, die weitergegeben werden, was wiederum den Geschäftsbetrieb stört.
-
Regulatorische und lizenzbezogene Probleme. Viele Vorschriften und Branchenstandards erfordern, dass Organisationen bekannte Sicherheitsrisiken in ihrer Softwarelieferkette proaktiv beheben. Wenn sie dies nicht tun, kann dies Complianceverstöße, Audits, rechtliche Sanktionen oder Verstöße gegen Open-Source-Lizenzverpflichtungen nach sich ziehen.
-
Erhöhte Wartungskosten. Je länger sicherheitsanfällige Abhängigkeiten unbehandelt bleiben, desto schwieriger und teurer wird ihre Behebung, insbesondere, wenn sie tief integriert sind oder Incidents auftreten. Eine frühzeitige Erkennung und Behebung senkt das Risiko einer kostspieligen Reaktion auf Incidents sowie von Notfallpatching und Reputationsschäden.
Eine regelmäßige Auswertung der Gefährdung für sicherheitsanfällige Abhängigkeiten ist eine bewährte Methode, um Risiken frühzeitig zu erkennen, effektive Korrekturstrategien zu implementieren sowie die Resilienz und Vertrauenswürdigkeit von Software zu wahren.
Dependabot überwacht automatisch die Abhängigkeiten deines Projekts auf Sicherheitsrisiken und veraltete Pakete. Wenn ein Sicherheitsproblem oder eine neue Version erkannt wird, erstellt es Pull Requests, um die betroffenen Abhängigkeiten zu aktualisieren, und hilft dir so dabei, Sicherheitsrisiken schnell zu beheben und deine Software auf dem neuesten Stand zu halten. Dadurch wird der manuelle Aufwand reduziert und sichergestellt, dass dein Projekt sicher bleibt. Weitere Informationen findest du unter Schnellstartanleitung für Dependabot.
GitHub bietet umfassende Dependabot-Metriken, die dir helfen, diese Risiken in allen Repositorys in deiner Organisation zu überwachen, zu priorisieren und zu beheben. Weitere Informationen findest du unter Anzeigen von Metriken für Dependabot-Warnungen.
Wichtige Aufgaben für das AppSec-Management
1. Überwachen von Sicherheitsrisikometriken
Mit der Metrikübersicht für Dependabot kannst du Einblicke in den aktuellen Zustand der sicherheitsanfälligen Abhängigkeiten deiner Organisation erhalten. Weitere Informationen findest du unter Anzeigen von Metriken für Dependabot-Warnungen.
- Warnungspriorisierung: Überprüfe die Anzahl der offenen Dependabot alerts und verwende z. B. Filter wie CVSS-Schweregrad, EPSS-Exploitwahrscheinlichkeit, Patchverfügbarkeit und ob eine sicherheitsanfällige Abhängigkeit tatsächlich in bereitgestellten Artefakten verwendet wird. Weitere Informationen findest du unter Dependabot-Dashboardansichtsfilter.
- Aufschlüsselung auf Repositoryebene: Du kannst ermitteln, welche Repositorys die meisten kritischen oder ausnutzbaren Sicherheitsrisiken enthalten.
- Nachverfolgung der Behebung: Verfolge die Anzahl und den Prozentanteil der im Laufe der Zeit korrigierten Warnungen nach, um die Effektivität deiner Verwaltung von Sicherheitsrisiken zu messen.
2. Priorisieren von Korrekturmaßnahmen
Konzentriere dich auf Sicherheitsrisiken, die für deine Organisation das höchste Risiko darstellen.
- Priorisiere Warnungen mit hohem oder kritischem Schweregrad, hohen EPSS-Bewertungen und verfügbaren Patches.
- Verwende die Repositoryaufschlüsselung, um Korrekturmaßnahmen auf die risikoreichsten Projekte zu lenken.
- Halte Entwicklungsteams dazu an, Sicherheitsrisiken zu beheben, die über benutzerdefinierte Repositoryeigenschaften tatsächlich in bereitgestellten Artefakten verwendet werden.
3. Kommunizieren von Risiken und Fortschritt
- Wichtige Risikofaktoren und den Fortschritt bei der Behebung kannst du über die Seite mit den Dependabot-Metriken an Projektbeteiligte kommunizieren.
- Aktualisiere Trends wie die Verringerung von offenen, kritischen Sicherheitsrisiken oder Verbesserungen bei Wartungsraten regelmäßig.
- Hebe Repositorys oder Teams hervor, die zusätzliche Unterstützung oder Aufmerksamkeit benötigen.
4. Einrichten und Durchsetzen von Richtlinien
- Lege organisationsweite Richtlinien fest, um Abhängigkeitsüberprüfungen und Dependabot alerts für alle Repositorys obligatorisch zu machen. Weitere Informationen findest du unter Informationen zur Abhängigkeitsüberprüfung und Informationen zu Dependabot-Warnungen.
- Stelle sicher, dass neue Repositorys automatisch bei der Abhängigkeitsüberwachung registriert werden.
- Arbeite mit Repositoryadmins zusammen, um automatisierte Sicherheitsupdates überall dort einzusetzen, wo welche möglich sind. Weitere Informationen findest du unter Informationen zu Dependabot-Sicherheitsupdates.
5. Auswerten der Wirkung von Dependabot alerts
- Überprüfe regelmäßig, wie Dependabot alerts helfen, zu verhindern, dass Sicherheitsrisiken in deine Codebasis eindringen.
- Verwende historische Daten, um den Wert eines proaktiven Abhängigkeitsmanagements zu veranschaulichen.