Sobre sua exposição a dependências vulneráveis

Entender a exposição de sua organização a dependências vulneráveis é essencial para identificar e priorizar riscos de segurança. Aproveitar as métricas do Dependabot no GitHub permite que você avalie, priorize e corrija vulnerabilidades com eficiência, reduzindo a probabilidade de violações de segurança.

Quem pode usar esse recurso?

Requer o GitHub Team ou o GitHub Enterprise

Neste artigo

Sobre a exposição a dependências vulneráveis

Avaliar sua exposição a dependências vulneráveis é crucial se você quer evitar:

  • Comprometimento da cadeia de suprimentos. Invasores podem explorar vulnerabilidades em dependências de software livre ou de terceiros para injetar código mal-intencionado, elevar privilégios ou obter acesso não autorizado aos seus sistemas. Dependências comprometidas podem servir como pontos de entrada indiretos para criminosos, levando a incidentes de segurança de grande alcance.

  • Propagação generalizada de riscos. Dependências vulneráveis muitas vezes são reutilizadas em vários aplicativos e serviços, o que significa que uma só falha pode se propagar por toda a sua organização, agravando o risco e o impacto da exploração.

  • Tempo de inatividade não planejado e interrupção operacional. A exploração de vulnerabilidades de dependência pode gerar interrupções de aplicativo, degradação da qualidade do serviço ou falhas em cascata em sistemas críticos, interrompendo suas operações de negócios.

  • Problemas regulatórios e de licenciamento. Muitos regulamentos e padrões do setor exigem que as organizações resolvam proativamente as vulnerabilidades conhecidas em sua cadeia de fornecimento de software. Deixar de corrigir dependências vulneráveis pode resultar em não conformidade, auditorias, sanções legais ou violações de obrigações de licenças de software livre.

  • Aumento dos custos de correção. Quanto maior o período que as dependências vulneráveis permanecem sem correção, mais difícil e dispendioso é corrigi-las, especialmente quando estão profundamente integradas ou se ocorrem incidentes. A detecção e a correção precoces reduzem o risco de respostas a incidentes dispendiosas, a aplicação de patches de emergência e os danos à reputação.

Avaliar regularmente sua exposição a vulnerabilidades de dependência é uma boa prática para ajudar a identificar riscos antecipadamente, implementar estratégias de correção eficazes e manter o software resiliente e confiável.

O Dependabot monitora automaticamente as dependências do projeto em busca de vulnerabilidades e pacotes desatualizados. Quando detecta um problema de segurança ou uma nova versão, ele cria pull requests para atualizar as dependências afetadas, ajudando você a resolver rapidamente os riscos de segurança e manter seu software atualizado. Isso reduz o esforço manual e ajuda a garantir que o projeto permaneça seguro. Confira Guia de início rápido do Dependabot.

O GitHub fornece um conjunto abrangente de métricas do Dependabot para ajudar você a monitorar, priorizar e corrigir esses riscos em todos os repositórios da organização. Confira Exibindo métricas de alertas do Dependabot.

Principais tarefas para os gerentes de AppSec

1. Monitorar métricas de vulnerabilidade

Use a visão geral de métricas do Dependabot para ter visibilidade do estado atual das vulnerabilidades de dependência da organização. Confira Exibindo métricas de alertas do Dependabot.

  • Priorização de alertas: examine o número de Dependabot alerts abertos e use filtros como gravidade do CVSS, probabilidade de exploração do EPSS, disponibilidade de patch e se uma dependência vulnerável realmente é usada em artefatos implantados. Confira Filtros de exibição de painel do Dependabot.
  • Detalhamento no nível do repositório: identifique quais repositórios têm o maior número de vulnerabilidades críticas ou passíveis de exploração.
  • Acompanhamento de correções: acompanhe o número e o percentual de alertas corrigidos ao longo do tempo para medir a eficácia do seu programa de gerenciamento de vulnerabilidades.

2. Priorizar os esforços de correção

Concentre-se em vulnerabilidades que apresentam o maior risco para a organização.

  • Priorize alertas com gravidade alta ou crítica, pontuações de EPSS altas e patches disponíveis.
  • Use o detalhamento do repositório para direcionar os esforços de correção aos projetos sob maior risco.
  • Incentive as equipes de desenvolvimento a lidar com vulnerabilidades que realmente são usadas em artefatos implantados por meio de propriedades personalizadas do repositório.

3. Comunicar o risco e o progresso

  • Use a página de métricas do Dependabot para comunicar os principais fatores de risco e o progresso da correção aos stakeholders.
  • Forneça atualizações regulares sobre tendências, como a redução de vulnerabilidades críticas abertas ou melhorias nas taxas de correção.
  • Destaque os repositórios ou as equipes que exigem suporte ou atenção adicionais.

4. Estabelecer e impor políticas

5. Avaliar o impacto do Dependabot alerts

  • Revise regularmente como os Dependabot alerts estão ajudando a impedir que vulnerabilidades de segurança entrem em sua base de código.
  • Use dados históricos para demonstrar o valor do gerenciamento de dependências proativo.