U hebt een SBOM-scanner in uw CI/CD pijplijn gebouwd. Hij leest keurig uw package.json of pom.xml uit, meldt dat er geen CVE's zijn gevonden en geeft groen licht voor productie. Toch kunt u de volgende dag gehackt worden door een library die u volgens de scanner niet eens gebruikt.
Welkom in de verraderlijke wereld van Spook-componenten (phantom dependencies). Dit is code die fysiek in uw applicatie draait, maar nergens op de officiële ingrediëntenlijst staat.
Hoe ontstaan Spook-componenten?
- Vendoring & Copy-Paste: Ontwikkelaars onder tijdsdruk kopiëren soms handmatig de broncode van een handige open-source functie direct in de mappenstructuur van het eigen project. De package manager weet nergens van, en dus is het voor standaard scanners onzichtbaar.
- Statisch Gelinkte Libraries: Een Python- of Java-pakket lijkt veilig, maar maakt onder water gebruik van C/C++ libraries die door de oorspronkelijke maker hardcoded zijn meegecompileerd. Zo kan er zomaar een zwaar verouderde versie van OpenSSL in uw moderne app verstopt zitten.
Van lezen naar doen
Benieuwd hoe ver úw organisatie is met de CRA? Test het in twee minuten met de gratis Quickscan, of verdiep u in de 4-weekse Survival Challenge.