О вашем воздействии на уязвимые зависимости

Понимание воздействия уязвимых зависимостей вашей организации важно для выявления и приоритета рисков безопасности. Использование метрик Dependabot на GitHub позволяет эффективно оценивать, определять приоритеты и устранять уязвимости, уменьшая вероятность нарушений безопасности.

Кто может использовать эту функцию?

Требуется GitHub Team или GitHub Enterprise

В этой статье

О воздействии уязвимых зависимостей

Оценка воздействия уязвимых зависимостей имеет решающее значение, если вы хотите предотвратить:

  • Компрометация цепочки поставок. Злоумышленники могут использовать уязвимости в открытый код или сторонних зависимостях, чтобы внедрить вредоносный код, повысить привилегии или получить несанкционированный доступ к вашим системам. Скомпрометированные зависимости могут служить косвенными точками входа для вредоносных субъектов, что приводит к широкому охвату инцидентов безопасности.

  • Широко распространенная распространение риска. Уязвимые зависимости часто используются повторно в нескольких приложениях и службах, что означает, что один недостаток может распространяться по всей организации, составляя риск и влияние эксплуатации.

  • Незапланированные простои и операционные нарушения. Эксплуатация уязвимостей зависимостей может привести к сбоям приложений, снижению качества обслуживания или каскадным сбоям в критически важных системах, нарушению бизнес-операций.

  • Вопросы регулирования и лицензирования. Многие нормативные акты и отраслевые стандарты требуют от организаций упреждающего решения известных уязвимостей в их цепочке поставок программного обеспечения. Не устранив уязвимые зависимости, могут привести к несоответствию, аудиту, юридическим наказаниям или нарушениям обязательств по лицензированием открытый код.

  • Увеличение затрат на исправление. Более длинные уязвимые зависимости остаются незавершенными, тем сложнее и дороже они становятся для устранения, особенно если они глубоко интегрированы или возникают инциденты. Раннее обнаружение и исправление снижают риск дорогостоящего реагирования на инциденты, аварийного исправления и репутационного ущерба.

Регулярно оценивать уязвимость зависимостей рекомендуется для выявления рисков на ранних этапах, реализации эффективных стратегий исправления и поддержания устойчивости, надежного программного обеспечения.

Dependabot автоматически отслеживает зависимости проекта для уязвимостей и устаревших пакетов. При обнаружении проблемы безопасности или новой версии он создает запросы на вытягивание для обновления затронутых зависимостей, помогая быстро устранять риски безопасности и обновлять программное обеспечение. Это сокращает усилия вручную и помогает обеспечить безопасность проекта. См . раздел AUTOTITLE.

GitHub предоставляет полный набор метрик Dependabot для мониторинга, определения приоритетов и устранения этих рисков во всех репозиториях в вашей организации. См . раздел AUTOTITLE.

Ключевые задачи для диспетчеров AppSec

1. Мониторинг метрик уязвимостей

Используйте обзор метрик для Dependabot для получения видимости текущего состояния уязвимостей зависимостей вашей организации. См . раздел AUTOTITLE.

  • Оповещение о приоритетах: просмотрите количество открытых данных Dependabot alerts и используйте фильтры, такие как серьезность CVSS, вероятность эксплойтов EPSS, доступность исправлений и использование уязвимой зависимости в развернутых артефактах. См . фильтры представлений панели мониторинга Dependabot.
  • Разбивка на уровне репозитория: определите, какие репозитории имеют наибольшее количество критически важных или эксплойтируемых уязвимостей.
  • Отслеживание исправления. Отслеживайте количество и процент оповещений, фиксированных с течением времени, чтобы оценить эффективность управление уязвимостями программы.

2. Приоритет усилий по исправлению

Сосредоточьтесь на уязвимостях, которые представляют самый высокий риск для вашей организации.

  • Определите приоритет оповещений с высокой или критической серьезностью, высокими оценками EPSS и доступными исправлениями.
  • Используйте разбивку репозитория для направления усилий по исправлению наиболее рискованных проектов.
  • Рекомендуем группам разработчиков устранять уязвимости, которые фактически используются в развернутых артефактах с помощью настраиваемых свойств репозитория.

3. Обмен данными о рисках и прогрессе

  • Используйте страницу метрик Dependabot для обмена ключевыми факторами риска и прогрессом по исправлению заинтересованным лицам.
  • Предоставьте регулярные обновления тенденций, таких как сокращение открытых критически важных уязвимостей или улучшение частоты исправления.
  • Выделите репозитории или команды, требующие дополнительной поддержки или внимания.

4. Установка и принудительное применение политик

  • Настройте политики всей организации, чтобы требовать проверки зависимостей и Dependabot alerts для всех репозиториев. См. раздел [AUTOTITLE и Сведения о проверке зависимостей](/code-security/dependabot/dependabot-alerts/about-dependabot-alerts).
  • Убедитесь, что новые репозитории автоматически регистрируются в мониторинге зависимостей.
  • Обратитесь к администраторам репозитория, чтобы включить автоматические обновления системы безопасности по возможности. См . раздел AUTOTITLE.

5. Оценка влияния Dependabot alerts

  • Регулярно просматривайте, как Dependabot alerts помогает блокировать уязвимости системы безопасности при вводе базы кода.
  • Используйте исторические данные для демонстрации значения упреждающего управления зависимостями.