Informationen zur Exposition gegenüber Schwachstellen in Ihrem Code und dessen Abhängigkeiten

Verstehen Sie, wie Sicherheitsrisiken in Ihrem eigenen Code und in Abhängigkeiten von Drittanbietern zur allgemeinen Sicherheitsrisiken Ihrer Organisation beitragen und wie Sie dieses Risiko messen und reduzieren können.

In diesem Artikel

Risiken von nicht behobenen Sicherheitsrisiken

Ihre Organisation hat Sicherheitsrisiken sowohl im code, den Sie schreiben und verwalten, als auch in den open source oder Abhängigkeiten von Drittanbietern, die Ihr Code verwendet. Die Bewertung Ihrer Exposition gegenüber Sicherheitsrisiken ist entscheidend, wenn Sie Folgendes verhindern möchten:

  • Ungeplante Ausfallzeit und Betriebsunterbrechung. Die Nutzung von Sicherheitsrisiken kann zu Anwendungsausfällen, beeinträchtigter Dienstqualität oder kaskadierenden Fehlern in kritischen Systemen führen, wodurch Ihre Geschäftsvorgänge gestört werden.

  • Erhöhte Wartungskosten. Der längere anfällige Code bleibt unaddressiert, desto schwieriger und teurer wird es zu beheben, insbesondere, wenn der Code tief integriert ist oder Vorfälle auftreten. Früherkennung und -behebung verringern das Risiko kostspieliger Störungsbehebung, Notfallreparaturen und Reputationsschäden.

  • Breit gestreute Weitergabe von Risiken. Anfällige Module und Abhängigkeiten werden häufig in mehreren Anwendungen und Diensten wiederverwendet, was bedeutet, dass sich ein einzelner Fehler in Ihrer Gesamten Organisation verbreiten kann, wodurch das Risiko und die Auswirkungen der Ausbeutung verbunden sind.

  • Kompromittierungen in der Lieferkette. Angreifer können Sicherheitsrisiken in open source oder Abhängigkeiten von Drittanbietern ausnutzen, um bösartigen Code einzulegen, Rechte zu erhöhen oder nicht autorisierten Zugriff auf Ihre Systeme zu erlangen. Kompromittierte Abhängigkeiten können böswillig Handelnden als indirekte Einstiegspunkte dienen und zu weitreichenden Sicherheitsvorfällen führen.

  • Regulatorische und lizenzbezogene Probleme. Viele Vorschriften und Branchenstandards erfordern, dass Organisationen bekannte Sicherheitsrisiken in ihrer Softwarelieferkette proaktiv beheben. Wenn Sie anfällige Abhängigkeiten nicht beseitigen, kann dies zu Nichteinhaltung, Audits, Rechtsstrafen oder Verstößen gegen Open-Source-Lizenzanforderungen führen.

Durch die regelmäßige Bewertung der Sicherheitsrisiken können Sie Risiken frühzeitig erkennen und Abhilfemaßnahmen priorisieren.

Möglichkeiten zum Überwachen Ihrer Repositorys auf anfälligen Code

  • Code scanning überwacht automatisch den Code Ihres Projekts auf Sicherheitsrisiken. Wenn ein Sicherheitsproblem in einer Pullanforderung erkannt wird, wird eine Warnung mit einem AutoFix-Vorschlag erstellt, um die Sicherheitsanfälligkeit zu beheben. Dadurch wird die Auflösungsbarriere verringert und sichergestellt, dass Ihr Projekt sicher bleibt. Weitere Informationen findest du unter Konfigurieren des Standardsetups für das Code-Scanning.

  • Dependabot überwacht automatisch die Abhängigkeiten Ihres Projekts auf Sicherheitsanfälligkeiten und veraltete Pakete. Wenn ein Sicherheitsproblem oder eine neue Version erkannt wird, erstellt es Pull-Anfragen, um die betroffenen Abhängigkeiten zu aktualisieren. So können Sie Sicherheitsrisiken schnell beheben und Ihre Software auf dem neuesten Stand halten. Dadurch wird der manuelle Aufwand reduziert und sichergestellt, dass dein Projekt sicher bleibt. Weitere Informationen findest du unter Schnellstartanleitung für Dependabot.

GitHub bietet ein umfassendesSet an Dependabot-Metriken, die Ihnen helfen, diese Risiken in allen Repositorys in Ihrer Organisation zu überwachen, zu priorisieren und zu beheben. Weitere Informationen findest du unter Informationen zu Metriken für Dependabot-Warnungen.

Verringerung der Sicherheitsrisiken in der Organisation

Die Verringerung der Verwundbarkeitsexposition der Organisation erfordert kontinuierliche Sichtbarkeit in Bezug auf Risiken, Fortschritte bei der Risikominderung und die Durchsetzung von Richtlinien über Repositorys hinweg. Dependabot- und code scanning-Metriken bieten diese Transparenz. Verwenden Sie die folgenden bewährten Methoden, um die Sicherheitsrisiken Ihrer Organisation zu überwachen und zu verringern:

Überwachen von Sicherheitsrisikometriken für Abhängigkeiten

Mit der Metrikübersicht für Dependabot können Sie Einblicke in den aktuellen Zustand der sicherheitsanfälligen Abhängigkeiten Ihrer Organisation erhalten. Weitere Informationen findest du unter Anzeigen von Metriken für Dependabot-Warnungen.

  • Warnungspriorisierung: Überprüfen Sie die Anzahl der offenen Dependabot alerts und verwenden Sie Filter wie CVSS-Schweregrad, EPSS-Exploit-Wahrscheinlichkeit, Patch-Verfügbarkeit und ob eine anfällige Abhängigkeit tatsächlich in bereitgestellten Artefakten verwendet wird. Weitere Informationen findest du unter Dependabot-Dashboardansichtsfilter.
  • Aufschlüsselung auf Repositoryebene: Ermitteln Sie, welche Repositories die höchste Anzahl kritischer oder ausnutzbarer Sicherheitslücken aufweisen.
  • Nachverfolgung der Behebung: Verfolgen Sie die Anzahl und den Prozentsatz der im Laufe der Zeit behobenen Warnmeldungen, um die Effektivität Ihres Schwachstellenmanagementprogramms zu messen.

Überwachen der Einführung neuer code scanning-Warnungen

Verwenden Sie die Alarmansicht für code scanning, um Einblick in die Korrekturmaßnahmen in den Pull-Anfragen Ihrer Organisation zu erhalten. Weitere Informationen findest du unter Anzeigen von Metriken für Pull Request-Warnungen.

  • Warnungen in Pullanforderungen: Überprüfen Sie, wie viele Warnungen erkannt und mit dem Standard-Zweig ohne Lösung zusammengeführt wurden.
  • Am häufigsten vorkommende Regeln: Identifizieren Sie Regeln, die häufig ausgelöst werden, wenn Entwicklerschulungen erforderlich sind.
  • Aufschlüsselung auf Repository-Ebene: Ermitteln Sie, welche Repositories die höchste Anzahl von Warnungen in Pull-Anforderungen erkannt haben, aber dennoch in der Standardverzweigung integriert wurden.
  • Nachverfolgung der Behebung: Verfolgen Sie die Anzahl und den Prozentsatz der im Laufe der Zeit behobenen Warnmeldungen, um die Effektivität Ihres Schwachstellenmanagementprogramms zu messen.

Priorisieren von Korrekturmaßnahmen

Konzentrieren Sie sich auf die Schwachstellen, die das höchste Risiko für Ihr Unternehmen darstellen.

  • Priorisieren Sie Warnungen mit hohem oder kritischem Schweregrad. Für Dependabot alerts sollten auch hohe EPSS-Scores und verfügbare Patches priorisiert werden.
  • Verwenden Sie die Aufschlüsselungsinformationen des Repositorys, um Die Bemühungen um Korrekturen an die risikoreichsten Projekte zu richten.

Kommunizieren von Risiken und Fortschritt

  • Verwenden Sie die Metrikseiten, um wichtige Risikofaktoren und den Fortschritt der Behebung an die Projektbeteiligten zu kommunizieren.
  • Informieren Sie regelmäßig über Trends, wie beispielsweise die Reduzierung offener kritischer Sicherheitslücken oder Verbesserungen bei den Behebungsraten.
  • Heben Sie Repositorys oder Teams hervor, die zusätzliche Unterstützung oder Aufmerksamkeit benötigen.

Etablieren und Durchsetzung von Richtlinien

Bewertung der Auswirkungen von Warnungen

  • Überprüfen Sie regelmäßig, wie Dependabot und code scanning Alarme helfen, Sicherheitsanfälligkeiten davon abzuhalten, in Ihre Codebasis einzudringen.
  • Verwenden Sie historische Daten, um den Wert eines proaktiven Abhängigkeitsmanagements zu veranschaulichen.