Kapitel 21. Schwachstellenmanagement
Diese Arbeit wurde mithilfe von KI übersetzt. Wir freuen uns über dein Feedback und deine Kommentare: translation-feedback@oreilly.com
Teil eines guten Prozesses für den Lebenszyklus der sicheren Softwareentwicklung (SSDL) ist eine gut definierte Pipeline für das Auffinden, Bewerten und Beheben von Schwachstellen, die in einer Webanwendung gefunden wurden. Im letzten Kapitel haben wir uns mit den Methoden zur Entdeckung von Schwachstellen befasst und davor mit den Methoden zur Integration von SSDL in die Architektur und die Entwicklungsphasen, um die Anzahl der gefundenen Schwachstellen zu reduzieren.
Schwachstellen in einer großen Anwendung werden in all diesen Phasen gefunden, von der Architekturphase bis zum Produktionscode. Schwachstellen, die in der Architekturphase entdeckt werden, können mit einem defensiven Code bekämpft werden, und Gegenmaßnahmen können entwickelt werden, bevor der Code geschrieben wird. Schwachstellen, die nach der Architekturphase gefunden werden, müssen ordnungsgemäß verwaltet werden, damit sie schließlich behoben und die betroffene Umgebung mit einem Patch versehen werden kann.
Hier kommt eine Pipeline für das Schwachstellenmanagement ins Spiel.
Reproduzieren von Schwachstellen
Nachdem eine Schwachstelle gemeldet hat, sollte der erste Schritt zu ihrer Behebung darin bestehen, die Schwachstelle in einer produktionsähnlichen Umgebung zu reproduzieren. Das hat mehrere Vorteile. Erstens kannst du so feststellen, ob ...
Get Sicherheit von Webanwendungen now with the O’Reilly learning platform.
O’Reilly members experience books, live events, courses curated by job role, and more from O’Reilly and nearly 200 top publishers.
