Verwendung von Komponenten mit bekannten Schwachstellen
Die meisten Anwendungen verwenden große Mengen an Komponenten von Drittanbietern. Diese Komponenten bieten alles von der Protokollierung über die Erstellung von Vorlagen bis hin zum Datenbankzugriff usw.
Dies erleichtert die Softwareentwicklung erheblich und spart viel Zeit. Allerdings werden diese Komponenten auch von Menschen hergestellt, und einige davon werden unweigerlich Schwachstellen enthalten. Das bedeutet, dass Sie möglicherweise ohne Ihr Wissen Schwachstellen ausgesetzt sind, die ausgenutzt werden könnten.
Aktualisierung der Komponenten
Im Allgemeinen wird dringend empfohlen, Frameworks, Bibliotheken und andere Komponenten regelmäßig zu aktualisieren. Dies kann auf verschiedene Weise erfolgen:
- Viele Softwareprogramme zur Quellcodeüberwachung können Ihre Repositorys analysieren und Sie benachrichtigen, wenn eine Schwachstelle in einer Abhängigkeit entdeckt wird.
- Viele Paketmanager können Ihre Anwendung analysieren und potenzielle Sicherheitslücken in Abhängigkeiten identifizieren.
- Es gibt zahlreiche Lösungen zur Analyse der Softwarekomposition (SCA), mit denen sich alle anfälligen Abhängigkeiten identifizieren lassen.
Das Risiko technischer Schulden mindern
Ein eher heimtückisches Problem im Zusammenhang mit der Aktualisierung von Bibliotheken besteht darin, dass diese Codeänderungen erfahren können. Obwohl diese oft dokumentiert sind, können bestimmte undokumentierte Änderungen möglicherweise erst dann sichtbar werden, wenn Ihr Code in der Produktion ausgeführt wird.
Wenn Ihre Anwendung im Vergleich zur neuesten Version zahlreiche ältere Versionen ausführt, kann die Aktualisierung auf die neueste Version sehr aufwendig sein. Falls eine zeitkritische Sicherheitslücke entdeckt wird, ist es wichtig, dass Sie hinsichtlich der Komponenten von Drittanbietern relativ auf dem neuesten Stand sind, um zu vermeiden, dass die Aktualisierung mehrere Tage in Anspruch nimmt.
Es wird ebenfalls davon abgeraten, Pakete blindlings zu aktualisieren, ohne zumindest die Versionshinweise zu lesen, da diese wichtige Informationen zu Änderungen enthalten können, die nicht offensichtlich sind, aber die Funktionsweise Ihrer Anwendung beeinträchtigen könnten.
Könnte das Update Ihre Situation unsicherer machen?
Obwohl dies nicht häufig vorkommt, kann es vorkommen, dass eine Schwachstelle:
- Nicht in früheren Versionen vorhanden
- Bei der Behebung einer Schwachstelle vorgestellt werden
Diese Fälle könnten zu der Annahme verleiten, dass eine regelmäßige Aktualisierung der Pakete nicht wirklich wünschenswert ist. Natürlich sollte diese Denkweise nach Möglichkeit vermieden werden, da sie zur Anhäufung von technischen Schulden führt.
Angesichts der relativen Seltenheit dieses Szenarios überwiegen die Vorteile häufiger Paketaktualisierungen bei weitem die Möglichkeit einer kürzlich eingeführten Sicherheitslücke, die ohnehin leicht behoben werden dürfte, wenn Sie regelmäßig Updates durchführen.
Er geht auch davon aus, dass Anbieter Schwachstellen nicht stillschweigend und ohne Offenlegung beheben, was leider immer noch sehr häufig vorkommt.
Bemerkenswerte Beispiele
Hier sind einige bemerkenswerte Beispiele, von denen Sie wahrscheinlich kürzlich gehört haben. Sie können sehen, wie und warum es wichtig ist, Ihre Bibliotheken zu konsultieren und sicherzustellen, dass Sie auf dem neuesten Stand bleiben.