我的生命在运转,我的灵魂在消逝
晚安,我爱你Risiken在Ihrer Software-Lieferkettelassen sich andhand der Liste der CVEs(常见漏洞和暴露= häufige Schwachstellen und Risiken) identifiieren。Schwachstellen schleichen sich oft unbemerkt durch etwas so Simples wie etwa veraltete oder inaktive Komponenten ein。Diese können zu einer ernsthaften Bedrohung werden。
sicherheitstesteandentwickler müssen daher auch die von Komponenten ausgehenenden operationellen Risiken identifizieren and bewerten können。夜在登CVEs aufgeführt, können阿贝尔dennoch zur Gefahr für Ihr Unternehmen werden。
“我的行动是危险的”
Für den sicherenSchutz Ihrer Software-Lieferkettesollten Sie unbedingt die folgenden vier operationellen Risikofaktoren berücksichtigen, wenn Sie Open-Source-Komponenten verwenden。
Ende der Lebensdauer
我知道你是我的朋友,我是你的朋友,我是你的朋友,我是你的朋友,我是你的朋友。
Gleiches镀金für veraltete Komponenten。Diese开源软件würde zwar vielleicht weiterhin gute Dienste leisten, sie wwachstellen überwacht。Und selbst wenn Sicherheitslücken erkannt würden, gäbe es keine aktualisierte版本。
修改版本
Älterer代码ist在der Regel weniger sicher。轻死Veröffentlichung einer Komponente bereits eine Weile zurück - selbst, wenn es sich um die neueste verfügbare版本handelt -, ist sie niht mehr auf dem aktuellen Stand der Bedrohungen。祝你生日快乐ältere快乐快乐,快乐快乐。
Je älter der Code, desto höher das Risiko。贝蛙鸟das Risiko Bei Versionen, die zwischen 10和20 Monate alt sinind, als gering eingestuft。Ab einem Alter von drei Jahren (40 Monaten) gelten Versionen als hochriskant。
Aktualität der版本号
Von wenigen Ausnahmen abgesehen, sollten Sie stets die aktuelle Komponentenversion verwenden,嗯Von den neuesten Verbesserungen zu profitieren。Sie vermeiden dadurch auch bekannte Schwachstellen älterer发布。
Komponentenversionen, die einen oder zwei发布hinter der aktuellen版本zurückliegen, stellen noch kein wirkliches Risiko dar - solange sie nicht älter als 10 bis 20 Monate sind。贝älteren Versionen steigt das Risiko jedoch比例。Einer Komponente, für die es bereits vier neuere Versionen gibt,奇怪的小矮人Risiko zugeschrieben。Als hochriskant gelten Komponenten, für die es bereits sechs oder mehr neue发布gibt。
Projektstatus
开源项目成果社区。Ein Indiz dafür sind rege Beiträge unterschiedlicher Mitglieder。“我们的世界,我们的世界,我们的世界,我们的世界,我们的世界,我们的世界。”Noch riskanter ist开源软件,um die sich scheinbar niemand mehr kümmert。
Sichere开源软件bedarf einer aktiven, engagierten Entwickler-Community, die diese kontinuierlich nutzt und verbessert。死Kubernetes-Software鸟beispielsweise von mehr als 3.100 Mitwirkenden gepflegt。Neben zahlreichen补丁gibt es hierfür auch drei点释放pro Jahr。
Die folgenden Indikatoren sollten Sie bei der Bewertung des Projektstatus unbedingt berücksichtigen:
- Release-Frequenz: Um den Mindeststatus an Sicherheit zu wahren, sollte es jährlich mindestens zwei通用可用性- bzw。ga - release (Point oder Patch) geben。软件mit nur einem - oder gar keinem - Release - pro Jahr, sollte als unsicher betrachtet werden。
- Commit-Frequenz: Damit Software als sicher gilt, sollten dafür in den vergangenen 12 Monaten mehr als 100 committed erfolgt sein。Meiden Sie Software mit weniger提交。
- Anzahl der beitrenden pro Jahr:第十二节心灵之殇fünf心灵之殇,心灵之殇gewährleisten。Auch hier镀金:Verwenden Sie keine软件,bei der es weniger信德。
Erhöhen你死在华氏温度下
Die oben genannten operationellen Risiken in Ihrer Software-Lieferkette zu erkennen, sollte Teil IhrerDevSecOps-Maß,盛。他的祖国,他的祖国,他的祖国,他的祖国和他的祖国。Nur, wenn Sie Ihre软件物料清单,也die Komponentenliste Ihrer Software, zusätzlich regelmäßig auf die genannten operationellen Risiken überprüfen, können Sie einen umfassenden Sicherheitsstatus erzielen。
麻省理工学院《SCA(软件组合分析)冯蛙x射线鸟死zum Kinderspiel。Neben古老而Sicherheits- und Lizenzrichtlinienkönnen你死定了operationellen Risikorichtlinien konfigurieren,嗯gezielt nach unerkannten Risiken zu suchen。
Die von JFrog veröffentlichten Mindeststandards für Risiken ermöglichen es Ihnen, den schwergrad andhand der operationellen Risikofaktoren zu berechnen oder enigene Schwellenwerte festlegen。
Wenn Sie für wichtige repositoryWatch-Richtlinien konfigurieren, ermittelt x射线für Sie, bei welchen Komponenten aufgrund von Richtlinienverstößen Maßnahmen zu ergreifen sind。
Sie möchten mehr erfahren?Fordern Sie eine x射线演示.
