Exploitierbare Schwachstellen priorisieren – Supply-Chain-Risiken senken

Application-Security-Teams stehen vor einer kontinuierlichen Herausforderung bei der Risikominimierung durch die stetig wachsende Anzahl von Schwachstellen. Allein in diesem Jahr wurden 36.000 Common Vulnerabilities and Exposures (CVEs) gemeldet – eine Zunahme um 25 Prozent gegenüber dem Vorjahr. Dieser starke Anstieg verschärft die Herausforderung der Priorisierung im Schwachstellenmanagement, insbesondere für schlanke AppSec-Teams.

Um zu unterstützen, haben wir mehrere neue Verbesserungen für unsere Software-Composition-Analysis-Lösung (SCA) eingeführt. Diese Verbesserungen stehen allen GitLab-Ultimate-Kunden zur Verfügung:

• Static Reachability Analysis identifiziert die exploitierbaren Schwachstellen aus Open-Source-Komponenten in Anwendungen.
• Known Exploited Vulnerabilities (KEV) Indicator hebt bekannte, aktiv ausgenutzte Schwachstellen hervor.
• Exploit Prediction Scoring System (EPSS) sagt die Wahrscheinlichkeit voraus, mit der eine Schwachstelle ausgenutzt wird.

Durch die Priorisierung exploitierbarer Schwachstellen können AppSec-Teams Triage-Zeiten reduzieren, Remediation-Zyklen beschleunigen und die Zusammenarbeit mit Entwicklungsteams verbessern. Unterstützt durch unsere jüngsten Akquisitionen von Oxeye und Rezilions geistigem Eigentum entsprechen diese neuen Funktionen unserer Vision, erstklassige Application-Security-Lösungen bereitzustellen, die nativ in Entwicklungs-Workflows integriert sind.

Was ist SCA und warum ist es wichtig?

Software Composition Analysis hilft Unternehmen, Open-Source-Komponenten in ihren Anwendungen zu identifizieren und zu verwalten. Durch das Scannen der Codebasis liefert SCA Einblicke in Komponentenversionen, Lizenzen und vor allem bekannte Schwachstellen. Da 90 Prozent der Fortune-500-Unternehmen von Open-Source-Komponenten für ihre Anwendungen abhängig sind, bietet SCA dringend benötigte Transparenz zur Risikominimierung in der Software-Lieferkette.

Aufsehenerregende Sicherheitsverletzungen wie SolarWinds und Log4Shell zeigen, wie Schwachstellen in Komponenten von Drittanbietern unzählige nachgelagerte Anwendungen kompromittieren können. SCA-Tools fungieren als proaktive Maßnahmen und ermöglichen es Teams, Schwachstellen zu identifizieren und Compliance frühzeitig im Software-Entwicklungslebenszyklus durchzusetzen – dies gewährleistet Software-Sicherheit bei gleichzeitiger Aufrechterhaltung der Entwicklungsgeschwindigkeit.

Rauschen herausfiltern für gezielte Remediation

Mit unseren neuesten SCA-Verbesserungen hilft GitLab dabei, Schwachstellen systematisch zu priorisieren, Backlogs zu reduzieren und schneller zu beheben – alles innerhalb bestehender Workflows.

Fokus auf Schwachstellen mit dem größten Risiko

• Static Reachability Analysis nutzt die proprietäre Detection-Engine unserer Advanced-SAST-Lösung, um Schwachstellen aus Dependencies aufzudecken, die in der Anwendung tatsächlich ausgenutzt werden können.

Triage-Zeiten reduzieren

• Mit KEV-Indikatoren und EPSS-Scoring liefert GitLab Security-Teams umsetzbare Einblicke in Schwachstellen, die aktiv ausgenutzt werden oder wahrscheinlich angegriffen werden. Die Einbeziehung risikobasierter Bewertungen unterstützt Teams dabei, ihren Schwachstellen-Backlog effektiv zu triagieren.

Schnellere Remediation zur Risikominimierung in der Lieferkette

• Unsere SCA-Verbesserungen sind in Entwicklungs-Workflows integriert und liefern kontextbezogene Remediation-Anleitungen bei gleichzeitiger Aufrechterhaltung der Entwicklerproduktivität.

Supply-Chain-Sicherheit und Schwachstellenverwaltung unterstützen NIS2-Anforderungen (Artikel 21.2(d) – Lieferkettensicherheit) für rund 29.500 deutsche Unternehmen. Die systematische Priorisierung von Schwachstellen in Open-Source-Komponenten adressiert auch ISO 27001 A.8.8 (Schwachstellenmanagement) und BSI IT-Grundschutz OPS.1.1.3. Der Cyber Resilience Act (CRA, ab 2027 geltend) fordert ähnliche Transparenz über Software-Komponenten. Für konkrete Compliance-Bewertungen empfiehlt sich Rücksprache mit entsprechender Fachberatung.

Wie es mit SCA weitergeht

Wir integrieren die Technologie von Rezilion weiterhin in unsere Plattform, um Teams dabei zu helfen, ihre Software-Lieferketten effektiver abzusichern. Rezilion wird der Schlüssel für zukünftige Innovationen sein, darunter:

• Schnellere Remediation-Workflows unterstützen, indem automatisch Merge Requests mit Fixes für erkannte Schwachstellen geöffnet werden
• Package-Metadaten anreichern mithilfe von OpenSSF-Scorecard-Ratings, um Security-Teams mehr Informationen über Dependencies bereitzustellen, etwa zu Autoren und End-of-Life-Status
• Erkennung von Open-Source-Software-Lizenzen verbessern, um Compliance zu gewährleisten und rechtliche Risiken zu reduzieren

Mit SCA beginnen

GitLab-Ultimate-Kunden finden in der Dokumentation Details zu Implementierungsanforderungen, Use-Cases und mehr. Wer noch kein GitLab-Ultimate-Kunde ist, kann eine kostenlose Testversion starten, um zu erkunden, wie GitLab die Fähigkeit verbessert, sichere Software zu entwickeln, Compliance-Ziele zu erreichen und die Entwicklungsgeschwindigkeit zu steigern.

*Disclaimer: Dieser Blog enthält Informationen zu kommenden Produkten, Features und Funktionalitäten. Die Informationen in diesem Blogpost dienen ausschließlich Informationszwecken. Verlassen Sie sich bei Kauf- oder Planungsentscheidungen nicht auf diese Informationen. Wie bei allen Projekten können sich die in diesem Blog und den verlinkten Seiten erwähnten Punkte ändern oder verzögern. Die Entwicklung, Veröffentlichung und der Zeitplan für Produkte, Features oder Funktionalitäten liegen im alleinigen Ermessen von GitLab.