Held-Hintergrund ohne Trennlinie
Richtlinien

Verwendung von Komponenten mit bekannten Schwachstellen

Die meisten Anwendungen verwenden eine Vielzahl von Komponenten von Drittanbietern. Diese Komponenten bieten alle möglichen Funktionen, von der Registrierung über die Erstellung von Vorlagen bis hin zum Zugriff auf Datenbanken und vieles mehr.

Dies erleichtert die Softwareentwicklung erheblich und spart viel Zeit. Allerdings werden diese Komponenten ebenfalls von Menschen hergestellt, und einige davon weisen zwangsläufig Schwachstellen auf. Das bedeutet, dass Sie möglicherweise ohne Ihr Wissen Schwachstellen ausgesetzt sind, die ausgenutzt werden könnten.

Die Komponenten auf dem neuesten Stand halten

Als allgemeine Regel gilt, dass es dringend empfohlen wird, Rahmen, Bibliotheken und andere Komponenten regelmäßig zu aktualisieren. Dies kann auf verschiedene Weise erfolgen:

  • Eine Vielzahl von Quellcodeverwaltungsprogrammen kann Ihre Repositorys analysieren und Sie benachrichtigen, wenn eine Schwachstelle in einer Abhängigkeit gefunden wird.
  • Viele Paketmanager können Ihre Anwendung analysieren und alle potenziell gefährdeten Abhängigkeiten identifizieren.
  • Es gibt zahlreiche Lösungen zur Softwarezusammensetzungsanalyse (SCA), die alle anfälligen Abhängigkeiten identifizieren können.

Das Risiko einer technischen Verschuldung mindern

Ein ziemlich heimtückisches Problem bei der Aktualisierung von Bibliotheken besteht darin, dass sie Änderungen enthalten können, die den Code entschlüsseln. Diese sind zwar in der Regel dokumentiert, es kann jedoch auch undokumentierte Änderungen geben, die möglicherweise erst dann sichtbar werden, wenn der Code in der Produktion ausgeführt wird.

Wenn die Anwendung viele Versionen hinter der neuesten Version zurückliegt, kann die Aktualisierung auf die neueste Version einen erheblichen Arbeitsaufwand erfordern. Im Falle der Entdeckung einer dringenden Sicherheitslücke ist es von entscheidender Bedeutung, dass Sie mit den Komponenten von Drittanbietern relativ auf dem neuesten Stand sind, um zu vermeiden, dass die Aktualisierung mehrere Tage in Anspruch nimmt.

Es wird auch nicht empfohlen, Pakete blind zu aktualisieren, ohne zumindest die Versionshinweise zu lesen, da diese wichtige Informationen zu Änderungen enthalten können, die nicht offensichtlich sind, aber die Funktionsweise der Anwendung verändern könnten.

Könnte das Update dich unsicherer machen?

Obwohl es nicht häufig vorkommt, gab es Fälle, in denen eine Schwachstelle Folgendes bewirken kann:

  • Nicht in früheren Versionen vorhanden
  • Führen Sie sich ein, indem Sie eine Schwachstelle beheben.

Diese Fälle können zu der Annahme führen, dass eine regelmäßige Aktualisierung der Pakete nicht wirklich wünschenswert ist. Diese Denkweise sollte natürlich nach Möglichkeit vermieden werden, da sie zur Anhäufung von technischen Schulden führt.

Angesichts der relativen Seltenheit dieses Szenarios überwiegen die Vorteile einer regelmäßigen Aktualisierung der Pakete bei weitem die Möglichkeit, dass eine neu eingeführte Schwachstelle auftritt, die ohnehin leicht behoben werden sollte, wenn Sie regelmäßig Updates durchführen.

Es wird auch davon ausgegangen, dass Anbieter Sicherheitslücken nicht stillschweigend und ohne Bekanntgabe beheben, was leider nach wie vor sehr häufig vorkommt.

Bemerkenswerte Beispiele

Im Folgenden finden Sie einige bemerkenswerte Beispiele, von denen Sie in letzter Zeit wahrscheinlich schon gehört haben. Sie können sehen, wie und warum es wichtig ist, Ihre Bibliotheken zu überprüfen und sicherzustellen, dass Sie auf dem neuesten Stand bleiben.