Phone icon +45 45 34 44 00
Search icon
Book møde

Documentation

9. Biblioteker og SDK'er

Bruger du biblioteker, SDK’er eller andre softwarekomponenter udviklet af tredjeparter? Her er nogle tips til, hvordan du kan integrere disse værktøjer, mens du bevarer kontrollen over dine udviklinger.

Træf et velovervejet valg

  • Vurder værdien af hver afhængighed. Nogle ofte anvendte softwarekomponenter består kun af få linjer kode. Men hver ekstra afhængighed øger dit systems angrebsflade. Hvis et enkelt bibliotek tilbyder flere funktioner, så integrér kun dem, du faktisk har brug for. Ved at aktivere et minimum af funktioner reducerer du risikoen for potentielle sikkerhedsfejl.

  • Vælg vedligeholdt software, biblioteker og SDK’er:

    • Hvis du vil bruge gratis eller open source-software, så vælg projekter eller løsninger med en aktiv brugergruppe, regelmæssige opdateringer og god dokumentation.

    • Hvis du anvender andre løsninger med kommerciel support, så sørg for, at vedligeholdelse og opdateringer er kontraktligt garanteret i hele dit projekts levetid.

  • Tag hensyn til privatlivsbeskyttelse. Nogle SDK’er eller biblioteker finansierer sig selv ved at indsamle persondata fra de applikationer eller hjemmesider, de integreres i. Sørg for, at sådanne tredjeparter overholder gældende lovgivning om persondata, inklusive en mekanisme til brugerens samtykke.

  • Hvis du bruger kryptografiske mekanismer, frarådes det kraftigt at implementere dine egne kryptografiske algoritmer eller protokoller. Vælg i stedet velrenommerede, vedligeholdte og veldokumenterede kryptografiske biblioteker.

Evaluer de valgte elementer

  • Læs dokumentationen og ændr standardkonfigurationer. Det er vigtigt at forstå, hvordan dine afhængigheder fungerer. Tredjepartsbiblioteker og SDK’er leveres ofte med standardindstillinger, som sjældent ændres, hvilket kan resultere i sikkerhedshuller.

  • Auditér dine biblioteker og SDK’er. Ved du virkelig, hvad alle dine afhængigheder gør? Hvilke data bliver sendt gennem disse afhængigheder, og til hvem? En audit kan hjælpe dig med at identificere de nødvendige databeskyttelsestiltag og fastlægge ansvarsfordelingen.

  • Kortlæg dine afhængigheder. Tredjepartsbiblioteker og SDK’er kan også inkludere andre komponenter. En gennemgang af deres kode kan hjælpe dig med bedre at kortlægge alle afhængigheder og handle hurtigt, hvis en af dem har en sårbarhed. Det anbefales også at gennemføre sikkerhedsaudits af dine tredjepartskomponenter og overvåge dem.

  • Vær opmærksom på typosquatting og andre ondsindede teknikker. Tjek navnene på dine afhængigheder samt deres underliggende afhængigheder for at undgå angreb. Kopiér ikke kommandoer fra ukendte kilder uden at verificere dem.

Vedligehold biblioteker og SDK’er

  • Brug afhængighedsstyringssystemer (såsom yum, apt, maven, pip osv.) til at holde styr på dine afhængigheder.

  • Håndtér opdateringer af dine afhængigheder, især sikkerhedsopdateringer, der lukker kendte sårbarheder. Du bør etablere en dokumenteret procedure for at implementere og udrulle opdateringer hurtigst muligt.

  • Vær opmærksom på biblioteker og SDK’er, der når end-of-life-support, da de ikke længere vil blive vedligeholdt. Find en alternativ løsning i god tid (nyt bibliotek eller fornyelse af kommerciel support).

  • Overvåg status på open source-projekter, især ændringer af domæner eller ejerskab af pakker, da nogle angreb udnytter ondsindede opdateringer af populære afhængigheder.

Book en web pentest

Find svagheder i web applikationerne

Book i dag