Sicherheit manchmal…

Dec 20 2022
Wenn Sie sich die Geschichte ansehen, werden Sie feststellen, dass Sicherheit in der Technologiebranche schon seit Jahren ein Thema ist. Allerdings befolgen nicht viele Unternehmen ihre eigenen Protokolle oder eigenen Leitfäden, um ihren Code zu sichern.

Wenn Sie sich die Geschichte ansehen, werden Sie feststellen, dass Sicherheit in der Technologiebranche schon seit Jahren ein Thema ist. Allerdings befolgen nicht viele Unternehmen ihre eigenen Protokolle oder eigenen Leitfäden, um ihren Code zu sichern.

Foto von Matthew Henry auf Unsplash

Sie werden vielleicht sagen, dass dies in der Technologiebranche nicht oft vorkommt, aber wenn Sie aufmerksam sind, haben Sie vielleicht von dem neuesten Problem mit Uber gehört. Ein 18-Jähriger führte ein Social-Engineering durch, bei dem der Eindringling einen Mitarbeiter von Uber anwies, sich auf einer gefälschten Uber-Website anzumelden, der die eingegebenen Anmeldeinformationen schnell und in Echtzeit erbeutete und sie zur Anmeldung auf der echten Uber-Website verwendete.

Hack & Lektion gelernt

Zu diesem Zeitpunkt hatte Uber MFA aktiviert, und zwar in Form einer App, die den Mitarbeiter dazu aufforderte, beim Anmelden einen Knopfdruck auf seinem Smartphone zu drücken. Um diesen Schutz zu umgehen, gab der Hacker seine Anmeldedaten ein in die reale Site mehrmals. Der Mitarbeiter war verwirrt oder müde und drückte schließlich den Knopf. Als der Mitarbeiter den Knopf drückte, war der Hacker bereits drin.

Foto von Mika Baumeister auf Unsplash

Stellen Sie sich Uber nun als ein Unternehmen vor, das nichts tun konnte. Selbst mit MFA konnte ein Hacker Schaden anrichten und war kreativ, um dieses Unternehmen stillzulegen oder Informationen von ihm zu erhalten. Wenn dies passieren könnte, müssen Sie sich jetzt vorstellen, was passieren kann, wenn Sie Ihren Code nicht sichern.

Wie schützen Sie Ihren Code?

Wenn Sie Teil der Tech-Community sind, wie oft suchen Sie in Stack Overflow nach Code und Antworten ? Wenn ja, empfehle ich Ihnen, dieses Tool zu verwenden, um Ihren Code zu überprüfen, bevor Sie ihn kopieren und in einen echten Zweig in der Produktionsumgebung einfügen. Dieses Tool heißt Code Checker von Snyk .

Snyk-Screenshot

Jetzt werden Sie sich vielleicht fragen, was Snyk für mich tun kann. Lassen Sie mich Ihnen sagen, dass dieses Tool Ihnen nicht nur dabei hilft, Code von jeder Plattform aus zu überprüfen, sondern Ihnen auch einige Einblicke in mögliche Fehler in Ihren aktuellen Repositorys geben kann.

Wenn Sie sich das Bild unten ansehen, sehen Sie, dass Snyk mit meinem GitHub- Konto verbunden ist.

Dies öffnet den Raum für mehrere Aufgaben, bei denen Sie prüfen möchten, welche Abhängigkeiten nicht aktualisiert werden, was Ihren Code beschädigt und was aktualisiert werden muss.
Schauen Sie sich das Bild unten an und dort wird Ihnen der Bericht angezeigt und es wird erwähnt, welche Schwachstellen geringe, mittlere und kritische Schwachstellen aufweisen. Jetzt haben Sie die Möglichkeit, die Sicherheitslücke zu ignorieren oder zu beheben.

Als DevSecOps werde ich immer sagen, dass wir kritische Schwachstellen ins Visier nehmen , uns Ihre Scorecard ansehen und herausfinden müssen, ob wir diese sofort beheben können. Warum sage ich das? Denn Sie müssen Ihre Software-Ingenieure über die aktuellen Entwicklungen informieren und prüfen, ob sie in ihrem aktuellen Sprint einen Platz für Aktualisierungen und Korrekturen finden . Einige andere Teams werden beschließen, das Problem noch am selben Tag zu beheben. Dieses Tool hilft Ihnen bei all Ihren Entscheidungen, da Sie die Möglichkeit haben, dies später zu tun oder eine PR zu erstellen .

Wenn Sie auf „Diese Sicherheitslücke beheben“ klicken, wird Folgendes angezeigt:

Im Bild oben sehen Sie, dass wir einige Probleme haben, und Sie fragen sich vielleicht, was das alles zu bedeuten hat. Nun, wenn Sie zu der Art von Person gehören, die sich immer wundert, empfehle ich Ihnen, auf eine dieser Schwachstellen zu klicken. In diesem Fall klicken wir unter „Probleme mit einem Fix“ auf „Regular Expression Denial of Service (ReDoS)“.

Dadurch wird ein vollständiger Kontext dessen angezeigt, womit Sie es zu tun haben. Wenn dies nicht real ist, können Sie es jederzeit als Fehler melden, indem Sie auf „Fehler gefunden?“ klicken. Zu diesem Zeitpunkt werden Sie zu einem anderen Bildschirm weitergeleitet und müssen die Details teilen.

Wenn Sie sich nicht sicher sind, was Sie hier lesen, haben Sie die Möglichkeit, mehr zu erfahren. Hierzu steht Ihnen ein interaktiver Modus zur Verfügung, in dem Sie mit dem Lernen beginnen können. Bitte klicken Sie auf den folgenden Link https://learn.snyk.io/lessons/redos/javascript/ .

Da wir uns nun sicherer fühlen, werden wir fortfahren und die PR erstellen. So sehen wir in GitHub aus :

Danach haben Sie die Möglichkeit, die neue PR und den neuen Branch mit allen Korrekturen zusammenzuführen.

Wenn Sie sich für die Zusammenführung entschieden haben, sehen Sie jetzt Folgendes:

Wenn Sie nun erfahren möchten, was sich in Ihrem Repo geändert hat, müssen Sie sich die in GitHub geänderten Dateien ansehen :

Wie Sie hier sehen können, mussten wir einige Updates durchführen, um auf dem neuesten Stand zu bleiben. Jetzt müssen wir zurückgehen und unser Dashboard in Snyk überprüfen und sehen, ob alles repariert wurde. Wenn Sie jemals einen Bericht an das Management senden müssen, empfehle ich Ihnen, diese Personen zu Ihrem Snyk- Konto hinzuzufügen und diese Art von Berichten mit ihnen zu teilen.

Darüber hinaus, wenn Sie mehr darüber erfahren möchten. Der Vorschlag wird unter diesem Link verfügbar seinhttps://learn.snyk.io/. Wenn Sie eher auf Videoinhalte stehen, suchen Sie nach ihrem YouTube-Kanalhttps://www.youtube.com/c/Snyksec.

Wenn Sie jemals Hilfe von Snyk- Botschaftern benötigen, können Sie hier nach ihnen suchen:https://snyk.io/blog/newest-snyk-ambassadors-mar-2022/

Erfahren Sie, wie Sie kostenlos programmieren:
Klicken Sie auf den folgenden Link: Boot.dev

Lesen Sie mehr:
Endtests der Cypress-Pipelines | Wie bekomme ich einen Job als Ingenieur? | UX-Entwickler | Ich bin der Ingenieur, den Sie suchen | Senden Sie mit der iMessage-App mehrere Nachrichten über das Terminal!

Kontaktiere mich:

Linkedin | Twitter | Github