Held-Hintergrund ohne Trennlinie
Richtlinien

Verwendung von Komponenten mit bekannten Schwachstellen

Die meisten Anwendungen verwenden eine Vielzahl von Komponenten von Drittanbietern. Diese Komponenten bieten alle möglichen Funktionen, darunter Protokollierung, Vorlagen und Datenbankzugriff.

Dadurch wird die Softwareentwicklung erheblich vereinfacht und es lässt sich viel Zeit sparen. Allerdings werden auch diese Komponenten von Menschen erstellt, sodass einige davon zwangsläufig Schwachstellen enthalten. Das bedeutet, dass Sie möglicherweise unbemerkt Schwachstellen ausgesetzt sind, die ausgenutzt werden könnten.

Komponenten auf dem neuesten Stand halten

Als allgemeine Faustregel empfehlen wir dringend, Frameworks, Bibliotheken und andere Komponenten regelmäßig auf dem neuesten Stand zu halten. Dazu gibt es verschiedene Möglichkeiten.

  • Viele Quellcodeverwaltungsprogramme analysieren Repositorys und warnen Sie, wenn sie Schwachstellen in Abhängigkeiten finden.
  • Viele Paketmanager können Anwendungen analysieren und schwache Abhängigkeiten identifizieren.
  • Es gibt zahlreiche Software-Kompositionsanalyse-Lösungen (SCA), mit denen sich fragile Abhängigkeiten identifizieren lassen.

Risikominderung technischer Verbindlichkeiten

Ein Problem bei der Aktualisierung von Bibliotheken besteht darin, dass Änderungen vorgenommen werden können, die den Code beschädigen. Diese Änderungen sind oft dokumentiert, aber es gibt auch undokumentierte Änderungen, die möglicherweise erst dann sichtbar werden, wenn der Code in der Produktionsumgebung ausgeführt wird.

Wenn die Anwendung eine ältere Version als die neueste Version ausführt, kann die Aktualisierung auf die neueste Version mit erheblichem Aufwand verbunden sein. Wenn eine dringende Sicherheitslücke bekannt wird, ist es wichtig, die Komponenten von Drittanbietern auf einem relativ aktuellen Stand zu halten, um zu vermeiden, dass die Aktualisierung mehrere Tage dauert.

また、リリースノートを読まずにやみくまにパッケージをアップグレードすることはお勧めしません。リリースノートには、明らかではないがアプリケーションの機能を変える可能性のある変更に関する重要な情報が含まれている可能性があるためです。

Wird die Sicherheit durch ein Update weiter erhöht?

Es kommt zwar nicht oft vor, aber aufgrund von Schwachstellen wurden folgende Fälle gemeldet.

  • In der alten Version nicht vorhanden
  • Bei der Behebung von Schwachstellen vorgestellt werden

In solchen Fällen könnte man zu dem Schluss kommen, dass eine regelmäßige Aktualisierung des Pakets nicht besonders wünschenswert ist. Natürlich sollte man diese Denkweise möglichst vermeiden, da sie zur Anhäufung technischer Schulden führt.

Angesichts der Tatsache, dass dieses Szenario relativ selten auftritt, überwiegen die Vorteile einer regelmäßigen Aktualisierung des Pakets bei weitem die möglichen neuen Schwachstellen. Wenn Sie regelmäßig die neuesten Informationen erhalten, sollten Sie diese ohnehin leicht beheben können.

また、ベンダーは何の開示もなく黙って脆弱性を修正しないと想定していますが、これは残念ながら今でも非常に一般的です。

Beachtenswertes Beispiel

Im Folgenden finden Sie einige bemerkenswerte Beispiele, von denen Sie vielleicht schon gehört haben. Sie werden verstehen, warum es wichtig ist, die Bibliothek zu überprüfen und stets auf dem neuesten Stand zu halten.