Kapitel 27. Schwachstellenmanagement
Diese Arbeit wurde mithilfe von KI übersetzt. Wir freuen uns über dein Feedback und deine Kommentare: translation-feedback@oreilly.com
Teil eines jeden guten SSDL-Prozesses ist eine gut definierte Pipeline zum Auffinden, Bewerten und Beheben von Schwachstellen, die in einer Webanwendung gefunden wurden. In Kapitel 26 haben wir uns mit den Methoden zur Entdeckung von Schwachstellen befasst und davor mit der Integration von SSDL in die Architektur und die Entwicklungsphasen, um die Anzahl der gefundenen Schwachstellen zu reduzieren.
Schwachstellen in einer großen Anwendung werden in all diesen Phasen gefunden, von der Architekturphase bis zum Produktionscode. Schwachstellen, die in der Architekturphase entdeckt werden, können in den Code eingearbeitet werden, und Gegenmaßnahmen können entwickelt werden, bevor der Code geschrieben wird. Schwachstellen, die nach der Architekturphase gefunden werden, müssen ordnungsgemäß verwaltet werden, damit sie schließlich behoben und die betroffene Umgebung mit einem Patch versehen werden kann. An dieser Stelle kommt die Schwachstellenmanagement-Pipeline ins Spiel.
Reproduzieren von Schwachstellen
Nachdem eine Schwachstelle gemeldet hat, sollte der erste Schritt zu ihrer Behebung darin bestehen, die Schwachstelle in einer produktionsähnlichen Umgebung zu reproduzieren. Das hat mehrere Vorteile. Erstens kannst du so feststellen, ob die Schwachstelle tatsächlich eine Schwachstelle ist. Manchmal können benutzerdefinierte ...
Get Web Application Security, 2. Auflage now with the O’Reilly learning platform.
O’Reilly members experience books, live events, courses curated by job role, and more from O’Reilly and nearly 200 top publishers.
