Ihre Anwendung ist nur so sicher wie ihre schwächste Abhängigkeit. Log4Shell zeigte, dass eine einzige verwundbare Bibliothek Millionen von Systemen gefährden kann.
Abhängigkeiten scannen¶
npm audit && npm audit fix pip-audit govulncheck ./… trivy fs –scanners vuln . trivy image myapp:latest
CI/CD-Integration¶
OWASP Top 10: Verwundbare und veraltete Komponenten¶
- uses: aquasecurity/trivy-action@master with: scan-type: ‘fs’ severity: ‘HIGH,CRITICAL’ exit-code: ‘1’
Best Practices¶
- Regelmäßig aktualisieren (Dependabot, Renovate)
- Lockfile immer committen
- In CI/CD scannen — CRITICAL/HIGH blockieren
- Abhängigkeiten minimieren
- Integrität überprüfen (npm integrity, pip –require-hashes)
Wichtigste Erkenntnis¶
Abhängigkeiten-Scanning in CI/CD automatisieren. Regelmäßig aktualisieren. Jede veraltete Bibliothek ist ein potenzieller Einstiegspunkt.
owaspsecuritydependenciessupply chain