Enterprise Server 3.21 ist derzeit als Release Candidate verfügbar.

Anfälligkeit für Sicherheitslücken in Ihrem Code und in Ihren Abhängigkeiten

Verstehen Sie, wie Sicherheitsrisiken in Ihrem eigenen Code und in Abhängigkeiten von Drittanbietern zur allgemeinen Sicherheitsrisiken Ihrer Organisation beitragen und wie Sie dieses Risiko messen und reduzieren können.

In diesem Artikel

Risiken von nicht behobenen Sicherheitsrisiken

Ihre Organisation hat Sicherheitsrisiken sowohl im code, den Sie schreiben und verwalten, als auch in den Open Source oder Abhängigkeiten von Drittanbietern, die Ihr Code verwendet. Die Bewertung Ihrer Exposition gegenüber Sicherheitsrisiken ist entscheidend, wenn Sie Folgendes verhindern möchten:

  • Ungeplante Ausfallzeit und Betriebsunterbrechung. Die Nutzung von Sicherheitsrisiken kann zu Anwendungsausfällen, beeinträchtigter Dienstqualität oder kaskadierenden Fehlern in kritischen Systemen führen, wodurch Ihre Geschäftsvorgänge gestört werden.

  • Erhöhte Wartungskosten. Der längere anfällige Code bleibt unaddressiert, desto schwieriger und teurer wird es zu beheben, insbesondere, wenn der Code tief integriert ist oder Vorfälle auftreten. Früherkennung und -behebung verringern das Risiko kostspieliger Störungsbehebung, Notfallreparaturen und Reputationsschäden.

  • Breit gestreute Weitergabe von Risiken. Anfällige Module und Abhängigkeiten werden häufig in mehreren Anwendungen und Diensten wiederverwendet, was bedeutet, dass sich ein einzelner Fehler in Ihrer Gesamten Organisation verbreiten kann, wodurch das Risiko und die Auswirkungen der Ausbeutung verbunden sind.

  • Kompromittierungen in der Lieferkette. Angreifer können Sicherheitsrisiken in Open Source oder Abhängigkeiten von Drittanbietern ausnutzen, um bösartigen Code einzulegen, Rechte zu erhöhen oder nicht autorisierten Zugriff auf Ihre Systeme zu erlangen. Kompromittierte Abhängigkeiten können böswillig Handelnden als indirekte Einstiegspunkte dienen und zu weitreichenden Sicherheitsvorfällen führen.

  • Regulatorische und lizenzbezogene Probleme. Viele Vorschriften und Branchenstandards erfordern, dass Organisationen bekannte Sicherheitsrisiken in ihrer Softwarelieferkette proaktiv beheben. Wenn Sie anfällige Abhängigkeiten nicht beseitigen, kann dies zu Nichteinhaltung, Audits, Rechtsstrafen oder Verstößen gegen Open-Source-Lizenzanforderungen führen.

Durch die regelmäßige Bewertung der Sicherheitsrisiken können Sie Risiken frühzeitig erkennen und Abhilfemaßnahmen priorisieren.

Möglichkeiten zum Überwachen Ihrer Repositorys auf anfälligen Code

  • Code scanning überwacht automatisch den Code Ihres Projekts auf Sicherheitsrisiken. Wenn ein Sicherheitsproblem in einer Pullanforderung erkannt wird, wird eine Warnung mit einem AutoFix-Vorschlag erstellt, um die Sicherheitsanfälligkeit zu beheben. Dadurch wird die Auflösungsbarriere verringert und sichergestellt, dass Ihr Projekt sicher bleibt. Siehe Konfigurieren des Standardsetups für das Code-Scanning.

  • Dependabot überwacht automatisch die Abhängigkeiten Ihres Projekts auf Sicherheitsrisiken und veraltete Pakete. Wenn ein Sicherheitsproblem oder eine neue Version erkannt wird, erstellt es Pull-Anfragen, um die betroffenen Abhängigkeiten zu aktualisieren. So können Sie Sicherheitsrisiken schnell beheben und Ihre Software auf dem neuesten Stand halten. Dadurch wird der manuelle Aufwand reduziert und sichergestellt, dass dein Projekt sicher bleibt. Siehe Schnellstartanleitung für Dependabot.

GitHub bietet einen umfassenden Satz von Dependabot Metriken, mit denen Sie diese Risiken in allen Repositorys in Ihrer Organisation überwachen, priorisieren und beheben können. Siehe Metriken für Dependabot-Warnungen.

Verringerung der Sicherheitsrisiken in der Organisation

Die Verringerung der Verwundbarkeitsexposition der Organisation erfordert kontinuierliche Sichtbarkeit in Bezug auf Risiken, Fortschritte bei der Risikominderung und die Durchsetzung von Richtlinien über Repositorys hinweg. Dependabot und code scanning Metriken bieten diese Sichtbarkeit. Verwenden Sie die folgenden bewährten Methoden, um die Sicherheitsrisiken Ihrer Organisation zu überwachen und zu verringern:

Überwachen von Sicherheitsrisikometriken für Abhängigkeiten

Nutzen Sie die Metrikübersicht für Dependabot, um einen Überblick über den aktuellen Stand der Sicherheitsrisiken in den Abhängigkeiten Ihrer Organisation zu erhalten. Siehe Anzeigen von Metriken für Dependabot-Warnungen.

  • Alarmpriorisierung: Überprüfen Sie die Anzahl der offenen Dependabot alerts und verwenden Sie Filter wie den CVSS-Schweregrad, die EPSS-Exploit-Wahrscheinlichkeit, die Patch-Verfügbarkeit und ob eine verwundbare Abhängigkeit tatsächlich in bereitgestellten Artefakten verwendet wird. Weitere Informationen findest du unter Dependabot-Dashboardansichtsfilter.
  • Aufschlüsselung auf Repositoryebene: Ermitteln Sie, welche Repositories die höchste Anzahl kritischer oder ausnutzbarer Sicherheitslücken aufweisen.
  • Nachverfolgung der Behebung: Verfolgen Sie die Anzahl und den Prozentsatz der im Laufe der Zeit behobenen Warnmeldungen, um die Effektivität Ihres Schwachstellenmanagementprogramms zu messen.

Einführung neuer code scanning Warnungen überwachen

Verwenden Sie die Warnungsansicht für code scanning, um Einblick in die Behebungsaktivitäten in den Pull Requests Ihrer Organisation zu erhalten. Siehe Anzeigen von Metriken für Pull Request-Warnungen.

  • Warnungen in Pullanforderungen: Überprüfen Sie, wie viele Warnungen erkannt und mit dem Standard-Zweig ohne Lösung zusammengeführt wurden.
  • Am häufigsten vorkommende Regeln: Identifizieren Sie Regeln, die häufig ausgelöst werden, wenn Entwicklerschulungen erforderlich sind.
  • Aufschlüsselung auf Repository-Ebene: Ermitteln Sie, welche Repositories die höchste Anzahl von Warnungen in Pull-Anforderungen erkannt haben, aber dennoch in der Standardverzweigung integriert wurden.
  • Nachverfolgung der Behebung: Verfolgen Sie die Anzahl und den Prozentsatz der im Laufe der Zeit behobenen Warnmeldungen, um die Effektivität Ihres Schwachstellenmanagementprogramms zu messen.

Priorisieren von Korrekturmaßnahmen

Konzentrieren Sie sich auf die Schwachstellen, die das höchste Risiko für Ihr Unternehmen darstellen.

  • Priorisieren Sie Warnungen mit hohem oder kritischem Schweregrad. Für Dependabot alerts priorisieren Sie ebenfalls hohe EPSS-Werte und verfügbare Patches.
  • Verwenden Sie die Aufschlüsselungsinformationen des Repositorys, um Die Bemühungen um Korrekturen an die risikoreichsten Projekte zu richten.

Kommunizieren von Risiken und Fortschritt

  • Verwenden Sie die Metrikseiten, um wichtige Risikofaktoren und den Fortschritt der Behebung an die Projektbeteiligten zu kommunizieren.
  • Informieren Sie regelmäßig über Trends, wie beispielsweise die Reduzierung offener kritischer Sicherheitslücken oder Verbesserungen bei den Behebungsraten.
  • Heben Sie Repositorys oder Teams hervor, die zusätzliche Unterstützung oder Aufmerksamkeit benötigen.

Etablieren und Durchsetzung von Richtlinien

  • Legen Sie eine organisationsweite Sicherheitskonfiguration fest, die Dependabot und code scanning für alle vorhandenen und neuen Repositorys aktiviert. Siehe Aktivierung von Sicherheitsfunktionen in großem Maßstab.
  • Aktivieren Sie die Abhängigkeitsüberprüfung, um Pullanforderungen in allen Repositorys zu kommentieren.
  • Erstellen Sie ein organisationsweites Regelwerk, um den Standard-Branch zu schützen und zu verlangen, dass kritische code scanning Warnungen behoben werden, bevor ein Pull Request zusammengeführt werden kann. Siehe Verwalten von Regelsätzen für Repositorys in deiner Organisation.
  • Arbeiten Sie mit Repository-Admins zusammen, um automatisierte Sicherheitsupdates überall dort einzusetzen, wo welche möglich sind. Siehe Dependabot-Sicherheitsupdates.

Bewertung der Auswirkungen von Warnungen

  • Überprüfen Sie regelmäßig, wie Dependabot- und code scanning-Warnungen dazu beitragen, zu verhindern, dass Sicherheitsschwachstellen in Ihre Codebasis gelangen.
  • Verwenden Sie historische Daten, um den Wert eines proaktiven Abhängigkeitsmanagements zu veranschaulichen.