_CORE
Leistungen
KI & Agentensysteme Unternehmensinformationssysteme Cloud & Platform Engineering Datenplattform & Integration Sicherheit & Compliance QA, Testing & Observability IoT, Automatisierung & Robotik Mobile & Digitale Produkte
Branchen
Banken & Finanzen Versicherungen Öffentliche Verwaltung Verteidigung & Sicherheit Gesundheitswesen Energie & Versorgung Telko & Medien Industrie & Fertigung Logistik & E-Commerce Retail & Treueprogramme
Referenzen Technologien
Lab
Blog Know-how Tools
Über uns Zusammenarbeit Karriere
CS EN DE
Lassen Sie uns sprechen

Dependency Scanning — Schwachstellenerkennung

22. 06. 2015 Aktualisiert: 27. 03. 2026 1 Min. Lesezeit intermediate
Dieser Artikel wurde veröffentlicht im Jahr 2015. Einige Informationen können veraltet sein.

Ihre Abhaengigkeiten sind Ihre Angriffsflaeche — jede Drittanbieter-Bibliothek kann eine bekannte Schwachstelle enthalten. Log4Shell (CVE-2021-44228) hat gezeigt, wie eine einzelne Schwachstelle in einer beliebten Bibliothek Millionen von Anwendungen gefaehrdete. Automatisches Scanning von Abhaengigkeiten in der CI/CD-Pipeline ist das Minimum — es findet bekannte CVEs, bevor sie in die Produktion gelangen. Manuelle Ueberpruefung bei Hunderten von transitiven Abhaengigkeiten ist nicht realistisch.

Werkzeuge

# Trivy (universell — Container, Dateisystem, IaC)
trivy fs .
trivy image myapp:latest

# npm
npm audit --audit-level=high

# Python
pip-audit

# Go
govulncheck ./...

Trivy ist am universellsten — es scannt nicht nur Abhaengigkeiten, sondern auch Docker-Images, Kubernetes-Manifeste und Terraform-Konfiguration. Snyk bietet eine entwicklerfreundliche UX mit automatischen Fix-PRs. npm audit und pip-audit sind sprachspezifische Alternativen, die ins Oekosystem integriert sind.

CI/CD

- uses: aquasecurity/trivy-action@master
  with:
    scan-type: fs
    severity: HIGH,CRITICAL
    exit-code: 1

CI/CD-Integration stellt sicher, dass kein Merge Request mit einer kritischen Schwachstelle in den Main Branch gelangt. Setzen Sie einen Severity-Schwellenwert — blockieren Sie CRITICAL und HIGH, melden Sie WARNING. Fuer Container-Images scannen Sie sowohl in der Build- als auch in der Deploy-Phase, da neue CVEs kontinuierlich erscheinen.

Automatische Updates

# Dependabot (.github/dependabot.yml)
version: 2
updates:
  - package-ecosystem: npm
    directory: /
    schedule:
      interval: weekly
    open-pull-requests-limit: 10

Dependabot und Renovate erstellen automatisch Pull Requests mit Abhaengigkeitsaktualisierungen. In Kombination mit CI-Tests ermoeglicht dies eine schnelle Reaktion auf Sicherheitspatches. Renovate bietet fortgeschrittenere Konfiguration — Auto-Merge fuer Minor/Patch-Updates, Gruppierung verwandter Updates und geplante Wartungsfenster.

Wichtigste Erkenntnis

Scannen Sie Abhaengigkeiten in Ihrer CI/CD-Pipeline, automatisieren Sie Updates mit Dependabot oder Renovate. Trivy fuer universelles Scanning, sprachspezifische Tools als Ergaenzung.

securitydependenciestrivysnyk
Teilen:

CORE SYSTEMS Team

Wir bauen Kernsysteme und KI-Agenten, die den Betrieb am Laufen halten. 15 Jahre Erfahrung mit Enterprise-IT.

Alle Artikel

Mehr Know-how

OWASP Top 10: Verwundbare und veraltete Komponenten

Abhängigkeiten verwalten und vor Schwachstellen in Drittanbieter-Bibliotheken schützen.

Kubernetes RBAC -- Zugriffskontrolle im Multi-Tenant-Cluster

RBAC in Kubernetes 1.6 ermöglicht endlich granulare Zugriffskontrolle. Wie wir die Isolation für mehrere Teams in...

DSGVO — Technische Maßnahmen für IT-Systeme

Praktischer Leitfaden zu technischen Maßnahmen für DSGVO-Konformität. Verschlüsselung, Pseudonymisierung, Audit-Logs...

Von VPN zu Zero Trust — Sicherheit im Zeitalter von Remote Work

Warum traditionelles VPN nicht reicht und wie wir begonnen haben, Zero Trust zu implementieren. BeyondCorp,...