Abhängigkeits-Schwachstelle
Eine Sicherheitsschwäche in Drittanbieter-Bibliotheken oder Paketen, von denen eine Anwendung abhängt und die ausgenutzt werden kann, um die Anwendung zu kompromittieren.
Definition
Moderne Anwendungen nutzen Hunderte von Abhängigkeiten, was eine große Angriffsfläche schafft. Abhängigkeits-Schwachstellen werden über die CVE-Datenbank verfolgt. Tools wie npm audit, Snyk, Dependabot und OWASP Dependency-Check scannen nach bekannten Schwachstellen. Software Composition Analysis (SCA) identifiziert alle Abhängigkeiten, einschließlich transitiver, und ordnet sie bekannten CVEs zu.
Warum es wichtig ist
Die Log4Shell-Schwachstelle (CVE-2021-44228) zeigte, wie ein einzelner Abhängigkeitsfehler Millionen von Anwendungen betreffen kann. OWASP listet "Vulnerable and Outdated Components" in den Top 10. Laut Synopsys enthalten 84% der Codebasen mindestens eine Schwachstelle in Open-Source-Abhängigkeiten.
Beispiel
Ein Entwickler führt npm audit aus und entdeckt, dass lodash Version 4.17.15 eine Prototype-Pollution-Schwachstelle hat (CVE-2020-8203). Er aktualisiert auf lodash 4.17.21, die den Sicherheitspatch enthält.