Coder Conquer Security: Share & Learn-Serie — Einsatz von Komponenten mit bekannten Sicherheitslücken
Was ist die eine Sache, die alle Anwendungen haben? Komponenten, auch bekannt als Abhängigkeiten oder Bibliotheken. Es gibt sehr wenig Code auf der Welt, der nicht zu einem bestimmten Zeitpunkt von anderem Code abhängt. Sie beginnen sogar mit einem Berg von Abhängigkeiten ab dem Zeitpunkt, an dem Sie die Anwendung erstellen!
Da alle Anwendungen Komponenten verwenden, von denen Sie die meisten nicht geschrieben haben, können Sicherheitslücken in den von Ihnen verwendeten Komponenten zu Verbindlichkeiten werden. Lassen Sie uns besprechen, was es bedeutet, Komponenten mit bekannten Sicherheitslücken zu verwenden, wie gefährlich sie ist und wie sie behoben werden können.
Verstehen Sie die Verwendung von Komponenten mit bekannten Sicherheitslücken
Jede komplexe Software weist Sicherheitslücken auf. Das liegt in der Natur der Bestie. Ihre Komponenten werden also niemals zu 100% sicher sein. Wissen Sie jedoch davon, wenn Sicherheitslücken in Komponenten gefunden werden? Bist du darauf vorbereitet?
Probleme treten am häufigsten auf, wenn Komponenten nach ihrer Nutzungsdauer verwendet werden oder wenn Sicherheitslücken gefunden wurden. Die meisten Komponenten und Bibliotheken veröffentlichen Patches für Sicherheitslücken zum oder vor der Bekanntgabe der Sicherheitslücke. Wenn Sicherheitslücken in Komponenten entdeckt und gemeldet werden, ist es daher von größter Bedeutung, die Komponenten so schnell wie möglich zu aktualisieren. Lassen Sie anfällige Software nicht in der Produktion.
Komponenten können aus verschiedenen Quellen stammen. Manchmal kaufen Sie Produkte von Drittanbietern, die sich direkt in Ihren benutzerdefinierten Code integrieren lassen. Diese Komponenten werden Teil Ihres Codes und funktionieren mit derselben Rechteebene. Eine weitere Quelle sind Open-Source-Projekte, die auf Websites wie GitHub gehostet werden. Open Source kann gefährlich sein, da nicht alle Open-Source-Bibliotheken sorgfältig auf Sicherheitslücken überprüft oder geprüft wurden.
Angreifer nutzen Informationen zu Sicherheitslücken in Komponenten zu ihrem Vorteil. Da die Sicherheitslücken öffentlich bekannt gegeben werden, wissen die Angreifer genau wie Sie von den Sicherheitslücken. Angreifer verfügen auch über Techniken, mit denen sie herausfinden können, welche Komponenten Sie verwenden. Sobald sie diese Informationen kennen, wissen sie, wie sie Ihre Anwendung angreifen können, wenn sie nicht gepatcht ist.
Erfahren Sie, warum anfällige Komponenten gefährlich sind
Wenn Sie nach Beweisen dafür suchen, wie gefährlich die Verwendung von Komponenten mit bekannten Sicherheitslücken ist, sind Sie bei der Equifax-Datenschutzverletzung von 2017 genau richtig.
Im Juli 2017 Equifax, ein Kreditbüro der Vereinigten Staaten, entdeckte eine massive Datenschutzverletzung, bei der die personenbezogenen Daten von über 147 Millionen Menschen durchsickerten. Das Ausmaß und die Auswirkungen dieser Datenschutzverletzung sind beispiellos. Vor Kurzem wurden Neuigkeiten veröffentlicht über Die laxen Sicherheitspraktiken von Equifax.
Eine dieser laxen Praktiken war das Patch-Management. Equifax hatte keine guten Patch-Management-Praktiken, was bedeutete, dass ihre Komponenten eine ganze Weile ohne Patches auskamen. Dies war die direkte Ursache des Verstoßes.
Die Website von Equifax verwendete die Apache Struts Webframework. Einige Monate bevor sich die Angreifer in das Netzwerk hackten, wurde eine Sicherheitslücke im Struts-Framework, Apache Struts CVE-2017-5638, gefunden. Equifax hat die Sicherheitslücke jedoch nicht gepatcht. Angreifer nutzten diese Sicherheitslücke, um sich Zugriff auf das Netzwerk von Equifax zu verschaffen. Von dort aus erhielten sie Zugriff auf eine Fundgrube persönlicher Informationen.
Viele Websites basieren auf Web-Frameworks, die nicht vom Unternehmen geschrieben wurden. Dies ist gängige Praxis, da es ein zu großes Unterfangen wäre, alle erforderlichen Funktionen von Grund auf neu zu integrieren. Eine starke Abhängigkeit von einem Framework kann jedoch zu Sicherheitslücken führen. Werde nicht der nächste Equifax.
So schützen Sie sich vor anfälligen Komponenten
Es gibt keine Wunderwaffe zum Schutz vor der Verwendung anfälliger Komponenten. Es gibt jedoch Richtlinien und Kontrollen, mit denen Sie das Risiko mindern können, dass anfällige Komponenten Ihre Systeme gefährden.
Sie müssen wissen, welche Komponenten und welche Version jeder Komponente Sie verwenden, um Ihre Anwendungen zu erstellen. Tools für das Abhängigkeitsmanagement wie Die Abhängigkeitsprüfung von OWASP hilft Ihnen dabei, die von Ihnen verwendeten Abhängigkeiten in den Griff zu bekommen. Dependency Check teilt Ihnen auch mit, ob eine dieser Komponenten eine öffentlich gemeldete Sicherheitslücke aufweist.
Eine Patch-Management-Methode ist ebenfalls unerlässlich. Wenn Sicherheitslücken entdeckt werden, sollten Sie über ein System verfügen, mit dem die Patches problemlos heruntergeladen, getestet und für die Produktion freigegeben werden können. Wenn Sie Ihre Software auf dem neuesten Stand halten, wird verhindert, dass monatelange Sicherheitslücken von Angreifern ausgenutzt werden.
Und schließlich sollten Sie über Richtlinien verfügen, die die Verwendung von Open-Source-Komponenten und Komponenten von Drittanbietern regeln. Entwickler mögen keine Bürokratie, und das ist verständlich. Es muss jedoch ein Überprüfungsverfahren für Code geben, der nicht von Ihrer Organisation geschrieben wurde. Es muss nicht schwergewichtig sein, ist aber ein Muss, um zu verhindern, dass unbekannte Komponenten verwendet werden. Zumindest muss ein Inventar der verwendeten Komponenten auf dem neuesten Stand gehalten werden.
Lassen Sie sich nicht vom Drittanbieter-Bug beißen
Komponenten werden Sicherheitslücken aufweisen. Ihre Geschäftsanwendungen werden Komponenten verwenden, unabhängig davon, ob sie von einem Anbieter oder aus einer Open-Source-Bibliothek stammen. Das bedeutet nicht, dass Ihr Unternehmen anfällig für Angriffe sein muss.
Obwohl die Angreifer gleichzeitig mit Ihnen wissen, welche Sicherheitslücken bestehen, werden Patches in der Regel gleichzeitig mit den öffentlichen Ankündigungen zur Verfügung gestellt. Informieren Sie sich also unbedingt darüber, was Ihre Anwendung verwendet. Wissen Sie, was anfällig ist. Sorgen Sie dafür, dass Ihre Komponenten gepatcht sind!
Bereit, einige anfällige Komponenten zu entdecken (und zu besiegen)? Begib dich in die Arena, um an Kämpfen teilzunehmen: [Fangen Sie hier an]
Da alle Anwendungen Komponenten verwenden, von denen Sie die meisten nicht geschrieben haben, können Sicherheitslücken in den von Ihnen verwendeten Komponenten zu Verbindlichkeiten werden. Lassen Sie uns besprechen, was es bedeutet, Komponenten mit bekannten Sicherheitslücken zu verwenden, wie gefährlich sie ist und wie sie behoben werden können.
Jaap Karan Singh ist Secure Coding Evangelist, Chief Singh und Mitbegründer von Secure Code Warrior.
Secure Code Warrior là pour aider votre entreprise à sécuriser le code tout au long du cycle de développement logiciel et à créer une culture où la cybersécurité est une priorité. Que vous soyez responsable de la sécurité des applications, développeur, responsable de la sécurité des systèmes d'information ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre entreprise à réduire les risques liés à un code non sécurisé.
Réserver une démonstration
Jaap Karan Singh ist Secure Coding Evangelist, Chief Singh und Mitbegründer von Secure Code Warrior.
Was ist die eine Sache, die alle Anwendungen haben? Komponenten, auch bekannt als Abhängigkeiten oder Bibliotheken. Es gibt sehr wenig Code auf der Welt, der nicht zu einem bestimmten Zeitpunkt von anderem Code abhängt. Sie beginnen sogar mit einem Berg von Abhängigkeiten ab dem Zeitpunkt, an dem Sie die Anwendung erstellen!
Da alle Anwendungen Komponenten verwenden, von denen Sie die meisten nicht geschrieben haben, können Sicherheitslücken in den von Ihnen verwendeten Komponenten zu Verbindlichkeiten werden. Lassen Sie uns besprechen, was es bedeutet, Komponenten mit bekannten Sicherheitslücken zu verwenden, wie gefährlich sie ist und wie sie behoben werden können.
Verstehen Sie die Verwendung von Komponenten mit bekannten Sicherheitslücken
Jede komplexe Software weist Sicherheitslücken auf. Das liegt in der Natur der Bestie. Ihre Komponenten werden also niemals zu 100% sicher sein. Wissen Sie jedoch davon, wenn Sicherheitslücken in Komponenten gefunden werden? Bist du darauf vorbereitet?
Probleme treten am häufigsten auf, wenn Komponenten nach ihrer Nutzungsdauer verwendet werden oder wenn Sicherheitslücken gefunden wurden. Die meisten Komponenten und Bibliotheken veröffentlichen Patches für Sicherheitslücken zum oder vor der Bekanntgabe der Sicherheitslücke. Wenn Sicherheitslücken in Komponenten entdeckt und gemeldet werden, ist es daher von größter Bedeutung, die Komponenten so schnell wie möglich zu aktualisieren. Lassen Sie anfällige Software nicht in der Produktion.
Komponenten können aus verschiedenen Quellen stammen. Manchmal kaufen Sie Produkte von Drittanbietern, die sich direkt in Ihren benutzerdefinierten Code integrieren lassen. Diese Komponenten werden Teil Ihres Codes und funktionieren mit derselben Rechteebene. Eine weitere Quelle sind Open-Source-Projekte, die auf Websites wie GitHub gehostet werden. Open Source kann gefährlich sein, da nicht alle Open-Source-Bibliotheken sorgfältig auf Sicherheitslücken überprüft oder geprüft wurden.
Angreifer nutzen Informationen zu Sicherheitslücken in Komponenten zu ihrem Vorteil. Da die Sicherheitslücken öffentlich bekannt gegeben werden, wissen die Angreifer genau wie Sie von den Sicherheitslücken. Angreifer verfügen auch über Techniken, mit denen sie herausfinden können, welche Komponenten Sie verwenden. Sobald sie diese Informationen kennen, wissen sie, wie sie Ihre Anwendung angreifen können, wenn sie nicht gepatcht ist.
Erfahren Sie, warum anfällige Komponenten gefährlich sind
Wenn Sie nach Beweisen dafür suchen, wie gefährlich die Verwendung von Komponenten mit bekannten Sicherheitslücken ist, sind Sie bei der Equifax-Datenschutzverletzung von 2017 genau richtig.
Im Juli 2017 Equifax, ein Kreditbüro der Vereinigten Staaten, entdeckte eine massive Datenschutzverletzung, bei der die personenbezogenen Daten von über 147 Millionen Menschen durchsickerten. Das Ausmaß und die Auswirkungen dieser Datenschutzverletzung sind beispiellos. Vor Kurzem wurden Neuigkeiten veröffentlicht über Die laxen Sicherheitspraktiken von Equifax.
Eine dieser laxen Praktiken war das Patch-Management. Equifax hatte keine guten Patch-Management-Praktiken, was bedeutete, dass ihre Komponenten eine ganze Weile ohne Patches auskamen. Dies war die direkte Ursache des Verstoßes.
Die Website von Equifax verwendete die Apache Struts Webframework. Einige Monate bevor sich die Angreifer in das Netzwerk hackten, wurde eine Sicherheitslücke im Struts-Framework, Apache Struts CVE-2017-5638, gefunden. Equifax hat die Sicherheitslücke jedoch nicht gepatcht. Angreifer nutzten diese Sicherheitslücke, um sich Zugriff auf das Netzwerk von Equifax zu verschaffen. Von dort aus erhielten sie Zugriff auf eine Fundgrube persönlicher Informationen.
Viele Websites basieren auf Web-Frameworks, die nicht vom Unternehmen geschrieben wurden. Dies ist gängige Praxis, da es ein zu großes Unterfangen wäre, alle erforderlichen Funktionen von Grund auf neu zu integrieren. Eine starke Abhängigkeit von einem Framework kann jedoch zu Sicherheitslücken führen. Werde nicht der nächste Equifax.
So schützen Sie sich vor anfälligen Komponenten
Es gibt keine Wunderwaffe zum Schutz vor der Verwendung anfälliger Komponenten. Es gibt jedoch Richtlinien und Kontrollen, mit denen Sie das Risiko mindern können, dass anfällige Komponenten Ihre Systeme gefährden.
Sie müssen wissen, welche Komponenten und welche Version jeder Komponente Sie verwenden, um Ihre Anwendungen zu erstellen. Tools für das Abhängigkeitsmanagement wie Die Abhängigkeitsprüfung von OWASP hilft Ihnen dabei, die von Ihnen verwendeten Abhängigkeiten in den Griff zu bekommen. Dependency Check teilt Ihnen auch mit, ob eine dieser Komponenten eine öffentlich gemeldete Sicherheitslücke aufweist.
Eine Patch-Management-Methode ist ebenfalls unerlässlich. Wenn Sicherheitslücken entdeckt werden, sollten Sie über ein System verfügen, mit dem die Patches problemlos heruntergeladen, getestet und für die Produktion freigegeben werden können. Wenn Sie Ihre Software auf dem neuesten Stand halten, wird verhindert, dass monatelange Sicherheitslücken von Angreifern ausgenutzt werden.
Und schließlich sollten Sie über Richtlinien verfügen, die die Verwendung von Open-Source-Komponenten und Komponenten von Drittanbietern regeln. Entwickler mögen keine Bürokratie, und das ist verständlich. Es muss jedoch ein Überprüfungsverfahren für Code geben, der nicht von Ihrer Organisation geschrieben wurde. Es muss nicht schwergewichtig sein, ist aber ein Muss, um zu verhindern, dass unbekannte Komponenten verwendet werden. Zumindest muss ein Inventar der verwendeten Komponenten auf dem neuesten Stand gehalten werden.
Lassen Sie sich nicht vom Drittanbieter-Bug beißen
Komponenten werden Sicherheitslücken aufweisen. Ihre Geschäftsanwendungen werden Komponenten verwenden, unabhängig davon, ob sie von einem Anbieter oder aus einer Open-Source-Bibliothek stammen. Das bedeutet nicht, dass Ihr Unternehmen anfällig für Angriffe sein muss.
Obwohl die Angreifer gleichzeitig mit Ihnen wissen, welche Sicherheitslücken bestehen, werden Patches in der Regel gleichzeitig mit den öffentlichen Ankündigungen zur Verfügung gestellt. Informieren Sie sich also unbedingt darüber, was Ihre Anwendung verwendet. Wissen Sie, was anfällig ist. Sorgen Sie dafür, dass Ihre Komponenten gepatcht sind!
Bereit, einige anfällige Komponenten zu entdecken (und zu besiegen)? Begib dich in die Arena, um an Kämpfen teilzunehmen: [Fangen Sie hier an]
Was ist die eine Sache, die alle Anwendungen haben? Komponenten, auch bekannt als Abhängigkeiten oder Bibliotheken. Es gibt sehr wenig Code auf der Welt, der nicht zu einem bestimmten Zeitpunkt von anderem Code abhängt. Sie beginnen sogar mit einem Berg von Abhängigkeiten ab dem Zeitpunkt, an dem Sie die Anwendung erstellen!
Da alle Anwendungen Komponenten verwenden, von denen Sie die meisten nicht geschrieben haben, können Sicherheitslücken in den von Ihnen verwendeten Komponenten zu Verbindlichkeiten werden. Lassen Sie uns besprechen, was es bedeutet, Komponenten mit bekannten Sicherheitslücken zu verwenden, wie gefährlich sie ist und wie sie behoben werden können.
Verstehen Sie die Verwendung von Komponenten mit bekannten Sicherheitslücken
Jede komplexe Software weist Sicherheitslücken auf. Das liegt in der Natur der Bestie. Ihre Komponenten werden also niemals zu 100% sicher sein. Wissen Sie jedoch davon, wenn Sicherheitslücken in Komponenten gefunden werden? Bist du darauf vorbereitet?
Probleme treten am häufigsten auf, wenn Komponenten nach ihrer Nutzungsdauer verwendet werden oder wenn Sicherheitslücken gefunden wurden. Die meisten Komponenten und Bibliotheken veröffentlichen Patches für Sicherheitslücken zum oder vor der Bekanntgabe der Sicherheitslücke. Wenn Sicherheitslücken in Komponenten entdeckt und gemeldet werden, ist es daher von größter Bedeutung, die Komponenten so schnell wie möglich zu aktualisieren. Lassen Sie anfällige Software nicht in der Produktion.
Komponenten können aus verschiedenen Quellen stammen. Manchmal kaufen Sie Produkte von Drittanbietern, die sich direkt in Ihren benutzerdefinierten Code integrieren lassen. Diese Komponenten werden Teil Ihres Codes und funktionieren mit derselben Rechteebene. Eine weitere Quelle sind Open-Source-Projekte, die auf Websites wie GitHub gehostet werden. Open Source kann gefährlich sein, da nicht alle Open-Source-Bibliotheken sorgfältig auf Sicherheitslücken überprüft oder geprüft wurden.
Angreifer nutzen Informationen zu Sicherheitslücken in Komponenten zu ihrem Vorteil. Da die Sicherheitslücken öffentlich bekannt gegeben werden, wissen die Angreifer genau wie Sie von den Sicherheitslücken. Angreifer verfügen auch über Techniken, mit denen sie herausfinden können, welche Komponenten Sie verwenden. Sobald sie diese Informationen kennen, wissen sie, wie sie Ihre Anwendung angreifen können, wenn sie nicht gepatcht ist.
Erfahren Sie, warum anfällige Komponenten gefährlich sind
Wenn Sie nach Beweisen dafür suchen, wie gefährlich die Verwendung von Komponenten mit bekannten Sicherheitslücken ist, sind Sie bei der Equifax-Datenschutzverletzung von 2017 genau richtig.
Im Juli 2017 Equifax, ein Kreditbüro der Vereinigten Staaten, entdeckte eine massive Datenschutzverletzung, bei der die personenbezogenen Daten von über 147 Millionen Menschen durchsickerten. Das Ausmaß und die Auswirkungen dieser Datenschutzverletzung sind beispiellos. Vor Kurzem wurden Neuigkeiten veröffentlicht über Die laxen Sicherheitspraktiken von Equifax.
Eine dieser laxen Praktiken war das Patch-Management. Equifax hatte keine guten Patch-Management-Praktiken, was bedeutete, dass ihre Komponenten eine ganze Weile ohne Patches auskamen. Dies war die direkte Ursache des Verstoßes.
Die Website von Equifax verwendete die Apache Struts Webframework. Einige Monate bevor sich die Angreifer in das Netzwerk hackten, wurde eine Sicherheitslücke im Struts-Framework, Apache Struts CVE-2017-5638, gefunden. Equifax hat die Sicherheitslücke jedoch nicht gepatcht. Angreifer nutzten diese Sicherheitslücke, um sich Zugriff auf das Netzwerk von Equifax zu verschaffen. Von dort aus erhielten sie Zugriff auf eine Fundgrube persönlicher Informationen.
Viele Websites basieren auf Web-Frameworks, die nicht vom Unternehmen geschrieben wurden. Dies ist gängige Praxis, da es ein zu großes Unterfangen wäre, alle erforderlichen Funktionen von Grund auf neu zu integrieren. Eine starke Abhängigkeit von einem Framework kann jedoch zu Sicherheitslücken führen. Werde nicht der nächste Equifax.
So schützen Sie sich vor anfälligen Komponenten
Es gibt keine Wunderwaffe zum Schutz vor der Verwendung anfälliger Komponenten. Es gibt jedoch Richtlinien und Kontrollen, mit denen Sie das Risiko mindern können, dass anfällige Komponenten Ihre Systeme gefährden.
Sie müssen wissen, welche Komponenten und welche Version jeder Komponente Sie verwenden, um Ihre Anwendungen zu erstellen. Tools für das Abhängigkeitsmanagement wie Die Abhängigkeitsprüfung von OWASP hilft Ihnen dabei, die von Ihnen verwendeten Abhängigkeiten in den Griff zu bekommen. Dependency Check teilt Ihnen auch mit, ob eine dieser Komponenten eine öffentlich gemeldete Sicherheitslücke aufweist.
Eine Patch-Management-Methode ist ebenfalls unerlässlich. Wenn Sicherheitslücken entdeckt werden, sollten Sie über ein System verfügen, mit dem die Patches problemlos heruntergeladen, getestet und für die Produktion freigegeben werden können. Wenn Sie Ihre Software auf dem neuesten Stand halten, wird verhindert, dass monatelange Sicherheitslücken von Angreifern ausgenutzt werden.
Und schließlich sollten Sie über Richtlinien verfügen, die die Verwendung von Open-Source-Komponenten und Komponenten von Drittanbietern regeln. Entwickler mögen keine Bürokratie, und das ist verständlich. Es muss jedoch ein Überprüfungsverfahren für Code geben, der nicht von Ihrer Organisation geschrieben wurde. Es muss nicht schwergewichtig sein, ist aber ein Muss, um zu verhindern, dass unbekannte Komponenten verwendet werden. Zumindest muss ein Inventar der verwendeten Komponenten auf dem neuesten Stand gehalten werden.
Lassen Sie sich nicht vom Drittanbieter-Bug beißen
Komponenten werden Sicherheitslücken aufweisen. Ihre Geschäftsanwendungen werden Komponenten verwenden, unabhängig davon, ob sie von einem Anbieter oder aus einer Open-Source-Bibliothek stammen. Das bedeutet nicht, dass Ihr Unternehmen anfällig für Angriffe sein muss.
Obwohl die Angreifer gleichzeitig mit Ihnen wissen, welche Sicherheitslücken bestehen, werden Patches in der Regel gleichzeitig mit den öffentlichen Ankündigungen zur Verfügung gestellt. Informieren Sie sich also unbedingt darüber, was Ihre Anwendung verwendet. Wissen Sie, was anfällig ist. Sorgen Sie dafür, dass Ihre Komponenten gepatcht sind!
Bereit, einige anfällige Komponenten zu entdecken (und zu besiegen)? Begib dich in die Arena, um an Kämpfen teilzunehmen: [Fangen Sie hier an]
Veuillez cliquer sur le lien ci-dessous et télécharger le PDF de cette ressource.
Secure Code Warrior là pour aider votre entreprise à sécuriser le code tout au long du cycle de développement logiciel et à créer une culture où la cybersécurité est une priorité. Que vous soyez responsable de la sécurité des applications, développeur, responsable de la sécurité des systèmes d'information ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre entreprise à réduire les risques liés à un code non sécurisé.
Consulter le rapportRéserver une démonstration
Jaap Karan Singh ist Secure Coding Evangelist, Chief Singh und Mitbegründer von Secure Code Warrior.
Was ist die eine Sache, die alle Anwendungen haben? Komponenten, auch bekannt als Abhängigkeiten oder Bibliotheken. Es gibt sehr wenig Code auf der Welt, der nicht zu einem bestimmten Zeitpunkt von anderem Code abhängt. Sie beginnen sogar mit einem Berg von Abhängigkeiten ab dem Zeitpunkt, an dem Sie die Anwendung erstellen!
Da alle Anwendungen Komponenten verwenden, von denen Sie die meisten nicht geschrieben haben, können Sicherheitslücken in den von Ihnen verwendeten Komponenten zu Verbindlichkeiten werden. Lassen Sie uns besprechen, was es bedeutet, Komponenten mit bekannten Sicherheitslücken zu verwenden, wie gefährlich sie ist und wie sie behoben werden können.
Verstehen Sie die Verwendung von Komponenten mit bekannten Sicherheitslücken
Jede komplexe Software weist Sicherheitslücken auf. Das liegt in der Natur der Bestie. Ihre Komponenten werden also niemals zu 100% sicher sein. Wissen Sie jedoch davon, wenn Sicherheitslücken in Komponenten gefunden werden? Bist du darauf vorbereitet?
Probleme treten am häufigsten auf, wenn Komponenten nach ihrer Nutzungsdauer verwendet werden oder wenn Sicherheitslücken gefunden wurden. Die meisten Komponenten und Bibliotheken veröffentlichen Patches für Sicherheitslücken zum oder vor der Bekanntgabe der Sicherheitslücke. Wenn Sicherheitslücken in Komponenten entdeckt und gemeldet werden, ist es daher von größter Bedeutung, die Komponenten so schnell wie möglich zu aktualisieren. Lassen Sie anfällige Software nicht in der Produktion.
Komponenten können aus verschiedenen Quellen stammen. Manchmal kaufen Sie Produkte von Drittanbietern, die sich direkt in Ihren benutzerdefinierten Code integrieren lassen. Diese Komponenten werden Teil Ihres Codes und funktionieren mit derselben Rechteebene. Eine weitere Quelle sind Open-Source-Projekte, die auf Websites wie GitHub gehostet werden. Open Source kann gefährlich sein, da nicht alle Open-Source-Bibliotheken sorgfältig auf Sicherheitslücken überprüft oder geprüft wurden.
Angreifer nutzen Informationen zu Sicherheitslücken in Komponenten zu ihrem Vorteil. Da die Sicherheitslücken öffentlich bekannt gegeben werden, wissen die Angreifer genau wie Sie von den Sicherheitslücken. Angreifer verfügen auch über Techniken, mit denen sie herausfinden können, welche Komponenten Sie verwenden. Sobald sie diese Informationen kennen, wissen sie, wie sie Ihre Anwendung angreifen können, wenn sie nicht gepatcht ist.
Erfahren Sie, warum anfällige Komponenten gefährlich sind
Wenn Sie nach Beweisen dafür suchen, wie gefährlich die Verwendung von Komponenten mit bekannten Sicherheitslücken ist, sind Sie bei der Equifax-Datenschutzverletzung von 2017 genau richtig.
Im Juli 2017 Equifax, ein Kreditbüro der Vereinigten Staaten, entdeckte eine massive Datenschutzverletzung, bei der die personenbezogenen Daten von über 147 Millionen Menschen durchsickerten. Das Ausmaß und die Auswirkungen dieser Datenschutzverletzung sind beispiellos. Vor Kurzem wurden Neuigkeiten veröffentlicht über Die laxen Sicherheitspraktiken von Equifax.
Eine dieser laxen Praktiken war das Patch-Management. Equifax hatte keine guten Patch-Management-Praktiken, was bedeutete, dass ihre Komponenten eine ganze Weile ohne Patches auskamen. Dies war die direkte Ursache des Verstoßes.
Die Website von Equifax verwendete die Apache Struts Webframework. Einige Monate bevor sich die Angreifer in das Netzwerk hackten, wurde eine Sicherheitslücke im Struts-Framework, Apache Struts CVE-2017-5638, gefunden. Equifax hat die Sicherheitslücke jedoch nicht gepatcht. Angreifer nutzten diese Sicherheitslücke, um sich Zugriff auf das Netzwerk von Equifax zu verschaffen. Von dort aus erhielten sie Zugriff auf eine Fundgrube persönlicher Informationen.
Viele Websites basieren auf Web-Frameworks, die nicht vom Unternehmen geschrieben wurden. Dies ist gängige Praxis, da es ein zu großes Unterfangen wäre, alle erforderlichen Funktionen von Grund auf neu zu integrieren. Eine starke Abhängigkeit von einem Framework kann jedoch zu Sicherheitslücken führen. Werde nicht der nächste Equifax.
So schützen Sie sich vor anfälligen Komponenten
Es gibt keine Wunderwaffe zum Schutz vor der Verwendung anfälliger Komponenten. Es gibt jedoch Richtlinien und Kontrollen, mit denen Sie das Risiko mindern können, dass anfällige Komponenten Ihre Systeme gefährden.
Sie müssen wissen, welche Komponenten und welche Version jeder Komponente Sie verwenden, um Ihre Anwendungen zu erstellen. Tools für das Abhängigkeitsmanagement wie Die Abhängigkeitsprüfung von OWASP hilft Ihnen dabei, die von Ihnen verwendeten Abhängigkeiten in den Griff zu bekommen. Dependency Check teilt Ihnen auch mit, ob eine dieser Komponenten eine öffentlich gemeldete Sicherheitslücke aufweist.
Eine Patch-Management-Methode ist ebenfalls unerlässlich. Wenn Sicherheitslücken entdeckt werden, sollten Sie über ein System verfügen, mit dem die Patches problemlos heruntergeladen, getestet und für die Produktion freigegeben werden können. Wenn Sie Ihre Software auf dem neuesten Stand halten, wird verhindert, dass monatelange Sicherheitslücken von Angreifern ausgenutzt werden.
Und schließlich sollten Sie über Richtlinien verfügen, die die Verwendung von Open-Source-Komponenten und Komponenten von Drittanbietern regeln. Entwickler mögen keine Bürokratie, und das ist verständlich. Es muss jedoch ein Überprüfungsverfahren für Code geben, der nicht von Ihrer Organisation geschrieben wurde. Es muss nicht schwergewichtig sein, ist aber ein Muss, um zu verhindern, dass unbekannte Komponenten verwendet werden. Zumindest muss ein Inventar der verwendeten Komponenten auf dem neuesten Stand gehalten werden.
Lassen Sie sich nicht vom Drittanbieter-Bug beißen
Komponenten werden Sicherheitslücken aufweisen. Ihre Geschäftsanwendungen werden Komponenten verwenden, unabhängig davon, ob sie von einem Anbieter oder aus einer Open-Source-Bibliothek stammen. Das bedeutet nicht, dass Ihr Unternehmen anfällig für Angriffe sein muss.
Obwohl die Angreifer gleichzeitig mit Ihnen wissen, welche Sicherheitslücken bestehen, werden Patches in der Regel gleichzeitig mit den öffentlichen Ankündigungen zur Verfügung gestellt. Informieren Sie sich also unbedingt darüber, was Ihre Anwendung verwendet. Wissen Sie, was anfällig ist. Sorgen Sie dafür, dass Ihre Komponenten gepatcht sind!
Bereit, einige anfällige Komponenten zu entdecken (und zu besiegen)? Begib dich in die Arena, um an Kämpfen teilzunehmen: [Fangen Sie hier an]
Table des matières
Jaap Karan Singh ist Secure Coding Evangelist, Chief Singh und Mitbegründer von Secure Code Warrior.
Secure Code Warrior là pour aider votre entreprise à sécuriser le code tout au long du cycle de développement logiciel et à créer une culture où la cybersécurité est une priorité. Que vous soyez responsable de la sécurité des applications, développeur, responsable de la sécurité des systèmes d'information ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre entreprise à réduire les risques liés à un code non sécurisé.
Réserver une démonstrationTéléchargerRessources pour débuter
Thèmes et contenus de la formation Securecode
Nos contenus de pointe sont constamment développés afin de s'adapter à l'évolution constante du paysage du développement logiciel, en tenant compte de votre rôle. Les thèmes abordés couvrent tous les domaines, de l'IA à l'injection XQuery, et sont proposés pour une multitude de rôles, des architectes et ingénieurs aux chefs de produit et responsables assurance qualité. Nous vous invitons à découvrir un aperçu de notre catalogue de contenus classés par thème et par rôle.
La Chambre de commerce établit la norme en matière de sécurité à grande échelle axée sur les développeurs
La Chambre de commerce néerlandaise explique comment elle a intégré le codage sécurisé dans le développement quotidien grâce à des certifications basées sur les rôles, à l'évaluation comparative du Trust Score et à une culture de responsabilité partagée en matière de sécurité.
%20(1).avif)
.avif)
Modélisation des menaces avec l'IA : transformer chaque développeur en modélisateur de menaces
Vous repartirez mieux équipé pour aider les développeurs à combiner les idées et les techniques de modélisation des menaces avec les outils d'IA qu'ils utilisent déjà pour renforcer la sécurité, améliorer la collaboration et créer des logiciels plus résilients dès le départ.
Ressources pour débuter
Cybermon est de retour : les missions KI « Beat the Boss » sont désormais disponibles sur demande.
Cybermon 2025 Beat the Boss est désormais disponible toute l'année dans SCW. Il utilise des exigences de sécurité IA/LLM avancées pour renforcer le développement sécurisé de l'IA à grande échelle.
Explication de la loi sur la cyber-résilience : implications pour le développement de logiciels sécurisés dès la conception
Découvrez les exigences de la loi européenne sur la cyber-résilience (CRA), à qui elle s'applique et comment les équipes de développement peuvent s'y préparer en adoptant des méthodes sécurisées, en prévenant les failles de sécurité et en renforçant les compétences des développeurs.
Facteur 1 : Critères de réussite définis et mesurables
Le catalyseur n° 1 inaugure notre série en dix parties intitulée « Les catalyseurs de la réussite » et démontre comment un codage sécurisé peut être associé à des résultats commerciaux tels que la réduction des risques et la rapidité afin d'atteindre une maturité programmatique à long terme.
