Sårbarhetshantering: från panik till process

**Snabbguide: SBOM och beroendehygien**...

Sårbarhetshantering: från panik till process

Snabbguide: SBOM och beroendehygien

Nästa stora sårbarhet i ett populärt bibliotek är inte en fråga om utan när. Skillnaden mellan panik och rutin är förberedelse: en aktuell SBOM visar på minuter om ni är berörda.

Automatisera beroendeuppdateringar med Renovate eller Dependabot, men komplettera med tester som vågar säga ja. Små, täta uppdateringar är säkrare än sällsynta storstädningar.

SBOM:en – en maskinläsbar innehållsförteckning över varje komponent i era artefakter – har gått från nice-to-have till upphandlingskrav. Generera den i bygget med verktyg som Syft, lagra den per release och koppla den till en sårbarhetsskanner som larmar när nya CVE:er matchar gamla releaser. När nästa stora biblioteksincident slår till är svaret på “är vi berörda?” en databasfråga, inte en veckas arkeologi.

Prioriteringen är där processen skiljer agnarna från vetet: alla kritiska CVE:er är inte kritiska för er. En sårbarhet i en funktion ni aldrig anropar, i en tjänst utan internetexponering, kan vänta till ordinarie uppdatering – medan en medelallvarlig brist i inloggningsflödet är ett stoppa-pressarna-ärende. Väg in exploaterbarhet och exponering, inte bara CVSS-siffran; EPSS-poäng och kända-exploaterade-listor hjälper kalibreringen.

Glöm inte heller leveranskedjans andra ände: låsfiler i versionskontroll, signerade artefakter och byggen som inte hämtar okänd kod från internet i byggtid. De flesta uppmärksammade attackerna på senare år gick inte genom kända CVE:er utan genom kapade paket och förgiftade byggkedjor.

Målet är tråkighet: när nästa namngivna megasårbarhet toppar nyheterna ska er insats vara en sökning, en prioritering och en handfull rutinmässiga uppdateringar – inte ett krigsrum.