Ihre Anwendung ist nur so sicher wie ihre schwächste Abhängigkeit. Log4Shell zeigte, dass eine einzige verwundbare Bibliothek Millionen von Systemen gefährden kann.

Abhängigkeiten scannen¶

npm audit && npm audit fix pip-audit govulncheck ./… trivy fs –scanners vuln . trivy image myapp:latest

CI/CD-Integration¶

GitHub Actions¶

• uses: aquasecurity/trivy-action@master with: scan-type: ‘fs’ severity: ‘HIGH,CRITICAL’ exit-code: ‘1’

Best Practices¶

1. Regelmäßig aktualisieren (Dependabot, Renovate)
2. Lockfile immer committen
3. In CI/CD scannen — CRITICAL/HIGH blockieren
4. Abhängigkeiten minimieren
5. Integrität überprüfen (npm integrity, pip –require-hashes)

Wichtigste Erkenntnis¶

Abhängigkeiten-Scanning in CI/CD automatisieren. Regelmäßig aktualisieren. Jede veraltete Bibliothek ist ein potenzieller Einstiegspunkt.