Versteckte Abhängigkeiten stellen laut Bericht unbekannte Risiken in modernen Softwaresystemen dar – Funktionsebene-Analyse reduziert unnötige Schwachstellenbehebungen um 90%

Experten warnen vor den Sicherheitsrisiken, die mit der Verwendung von Drittanbieterkomponenten und Open-Source-Bibliotheken einhergehen, während Organisationen zunehmend auf solche Abhängigkeiten setzen, um die Entwicklungsprozesse zu beschleunigen. Endor Labs‘ Dependency Management Report 2024 untersucht die Herausforderungen bei der Verwaltung von Softwareabhängigkeiten und Schwachstellen. Die Analyse von sieben Programmiersprachen ergab, dass weniger als 9,5% der Schwachstellen im Jahr 2024 als ‚reale Bedrohungen‘ angesehen wurden.

Die Verwaltung von Abhängigkeiten ist keine einfache Aufgabe, da die meisten Softwareprojekte auf mehreren Ebenen von Abhängigkeiten basieren. Die Verwendung von Drittanbieterkomponenten, insbesondere Open-Source-Software, beschleunigt die Entwicklungszyklen, bringt aber auch einzigartige Sicherheitsherausforderungen mit sich. Eine Vielzahl von Sicherheitsproblemen resultiert aus „Phantomabhängigkeiten“, die verborgene Komponenten sind, die nicht explizit im Code der Software dokumentiert sind und zu Schwachstellen führen können, die von herkömmlichen Tools nicht erkannt werden.

Ein Großteil der gemeldeten Sicherheitslücken wird erst veröffentlicht, nachdem der entsprechende Patch herausgegeben wurde, wodurch Systeme für potenzielle Ausbeutungen offen bleiben. Endors Analyse zeigt, dass nicht alle Schwachstellen das gleiche Risiko darstellen und Organisationen dazu aufgefordert werden, sich auf die erreichbarsten und ausbeutbaren Schwachstellen zu konzentrieren. Die Analyse von Endor zeigt zudem, dass durch die Fokussierung auf verwundbare Funktionen, die tatsächlich von der Anwendungscodebasis aufgerufen werden, die Remediationsefforts um fast 90% reduziert werden können.