À propos de votre exposition aux dépendances vulnérables

Comprendre l’exposition de votre organisation aux dépendances vulnérables est essentiel pour identifier et classer par ordre de priorité les risques de sécurité. En exploitant les mesures Dependabot sur GitHub, vous pouvez évaluer, classer par ordre de priorité et corriger efficacement les vulnérabilités, réduisant ainsi le risque de vulnérabilités de sécurité.

Qui peut utiliser cette fonctionnalité ?

Nécessite GitHub Team ou GitHub Enterprise

Dans cet article

À propos de l’exposition aux dépendances vulnérables

Il est essentiel d’évaluer votre exposition aux dépendances vulnérables si vous souhaitez éviter de :

  • Compromettre la chaîne d’approvisionnement. Les pirates peuvent exploiter les vulnérabilités des dépendances open source ou tierces pour injecter du code malveillant, élever leurs privilèges ou obtenir un accès non autorisé à vos systèmes. Les dépendances compromises peuvent servir de points d’entrée indirects pour les acteurs malveillants, entraînant des incidents de sécurité à grande échelle.

  • Propagation généralisée du risque. Les dépendances vulnérables sont souvent réutilisées dans plusieurs applications et services, ce qui signifie qu’une seule faille peut se propager dans toute votre organisation, augmentant ainsi le risque et l’impact d’une exploitation.

  • Temps d’arrêt non planifié et les interruptions opérationnelles. L’exploitation des vulnérabilités des dépendances peut entraîner des interruptions d’application, une dégradation de la qualité du service ou des défaillances en cascade dans des systèmes critiques, perturbant ainsi les opérations de votre entreprise.

  • Problèmes de réglementation et de licence. De nombreuses réglementations et normes industrielles exigent des organisations qu’elles traitent de manière proactive les vulnérabilités connues dans leur chaîne d’approvisionnement logicielle. Le fait de ne pas corriger les dépendances vulnérables peut entraîner un non-respect des règles, des audits, des sanctions légales ou des violations des obligations liées aux licences open source.

  • Augmentation des coûts de correction. Plus les dépendances vulnérables restent non corrigées, plus leur résolution devient difficile et coûteuse, surtout si elles sont profondément intégrées ou en cas d’incidents. La détection et la correction précoces réduisent le risque de réponses coûteuses aux incidents, de mise à jour corrective d’urgence et d’atteinte à la réputation.

Évaluer régulièrement votre exposition aux vulnérabilités des dépendances est une bonne pratique qui permet d’identifier rapidement les risques, de mettre en œuvre des stratégies de correction efficaces et de maintenir des logiciels résilients et fiables.

Dependabot surveille automatiquement les dépendances de votre projet afin de détecter les vulnérabilités et les packages obsolètes. Lorsqu’il détecte un problème de sécurité ou une nouvelle version, il crée des demandes de tirage pour mettre à jour les dépendances concernées, ce qui vous aide à traiter rapidement les risques de sécurité et à maintenir votre logiciel à jour. Cela réduit les efforts manuels et contribue à garantir la sécurité de votre projet. Consultez Guide de démarrage rapide Dependabot.

GitHub fournit un ensemble complet de mesures Dependabot pour vous aider à surveiller, classer par ordre de priorité et corriger ces risques dans tous les référentiels de votre organisation. Consultez Affichage des mesures pour les alertes Dependabot.

Tâches clés pour les gestionnaires AppSec

1. Surveiller les mesures de vulnérabilité

Utilisez la vue d’ensemble des mesures pour Dependabot afin d’obtenir une visibilité sur l’état actuel des vulnérabilités de dépendance de votre organisation. Consultez Affichage des mesures pour les alertes Dependabot.

  • Classement des alertes par ordre de priorité : passez en revue le nombre de Dependabot alerts ouvertes et utilisez des filtres tels que la gravité CVSS, la probabilité d’exploitation EPSS, la disponibilité des correctifs et la présence effective d’une dépendance vulnérable dans les artefacts déployés. Consultez Filtres de tableau de bord Dependabot.
  • Décomposition au niveau des référentiels : identifiez les référentiels qui présentent le plus grand nombre de vulnérabilités critiques ou exploitables.
  • Suivi des corrections : suivez le nombre et le pourcentage d’alertes corrigées au fil du temps afin de mesurer l’efficacité de votre programme de gestion des vulnérabilités.

2. Classer par ordre de priorité les mesures correctives

Concentrez-vous sur les vulnérabilités qui présentent le plus grand risque pour votre organisation.

  • Classez les alertes par ordre de priorité en fonction de leur gravité (élevée ou critique), de leur score EPSS et des correctifs disponibles.
  • Utilisez la décomposition par référentiel pour orienter les efforts de correction vers les projets les plus à risque.
  • Encouragez les équipes de développement à corriger les vulnérabilités qui sont réellement exploitées dans les artefacts déployés à l’aide des propriétés personnalisées du référentiel.

3. Communiquer les risques et la progression

  • Utilisez la page de mesures Dependabot pour communiquer les principaux facteurs de risque et l’avancement des mesures correctives aux parties prenantes.
  • Fournissez régulièrement des informations actualisées sur les tendances, telles que la diminution du nombre de vulnérabilités critiques non corrigées ou l’amélioration des taux de correction.
  • Mettez en évidence les référentiels ou les équipes qui nécessitent un support ou une attention supplémentaires.

4. Établir et appliquer des stratégies

5. Évaluer l’impact de Dependabot alerts

  • Passez régulièrement en revue la manière dont Dependabot alerts contribuent à empêcher les vulnérabilités de sécurité d’entrer dans votre codebase.
  • Utilisez les données historiques pour démontrer la valeur d’une gestion proactive des dépendances.