Wählen Sie Ihre Cookie-Einstellungen aus

Wir verwenden essentielle Cookies und ähnliche Tools, die für die Bereitstellung unserer Website und Services erforderlich sind. Wir verwenden Performance-Cookies, um anonyme Statistiken zu sammeln, damit wir verstehen können, wie Kunden unsere Website nutzen, und Verbesserungen vornehmen können. Essentielle Cookies können nicht deaktiviert werden, aber Sie können auf „Anpassen“ oder „Ablehnen“ klicken, um Performance-Cookies abzulehnen.

Wenn Sie damit einverstanden sind, verwenden AWS und zugelassene Drittanbieter auch Cookies, um nützliche Features der Website bereitzustellen, Ihre Präferenzen zu speichern und relevante Inhalte, einschließlich relevanter Werbung, anzuzeigen. Um alle nicht notwendigen Cookies zu akzeptieren oder abzulehnen, klicken Sie auf „Akzeptieren“ oder „Ablehnen“. Um detailliertere Entscheidungen zu treffen, klicken Sie auf „Anpassen“.

SEC11-BP05 Services für Pakete und Abhängigkeiten zentralisieren

Fokusmodus
SEC11-BP05 Services für Pakete und Abhängigkeiten zentralisieren - Säule der Sicherheit

Stellen Sie zentralisierte Services für den Erhalt von Softwarepaketen und anderen Abhängigkeiten für Ihre Teams bereit. Auf diese Weise können Pakete validiert werden, bevor sie in die von Ihnen geschriebene Software integriert werden, und es wird eine Datenquelle für die Analyse der Software bereitgestellt, die in Ihrer Organisation verwendet wird.

Gewünschtes Ergebnis: Sie erstellen Ihren Workload aus externen Softwarepaketen neben dem von Ihnen geschriebenen Code. Dies macht die Implementierung von häufig verwendeten Funktionen wie einem JSON-Parser oder einer Verschlüsselungsbibliothek einfacher. Sie stellen die Quellen für diese Pakete und Abhängigkeiten zentral bereit, sodass Ihr Sicherheitsteam sie vor der Verwendung validieren kann. Sie verwenden diesen Ansatz zusammen mit manuellen und automatisierten Tests, um das Vertrauen in die Qualität der entwickelten Software zu steigern.

Typische Anti-Muster:

  • Sie rufen Pakete willkürlich aus Repositorys im Internet ab.

  • Sie testen neue Pakete nicht, bevor Sie sie für Entwickler verfügbar machen.

Vorteile der Nutzung dieser bewährten Methode:

  • Besseres Verständnis, welche Pakete in der entwickelten Software verwendet werden

  • Benachrichtigung von Workload-Teams, wenn ein Paket aktualisiert werden muss (basierend auf dem Verständnis davon, wer was verwendet)

  • Geringeres Risiko, dass ein Paket mit Problemen in Ihre Software eingeschlossen wird

Risikostufe, wenn diese bewährte Methode nicht eingeführt wird: Mittel

Implementierungsleitfaden

Stellen Sie zentralisierte Services für Pakete und Abhängigkeiten so bereit, dass sie von Entwicklern einfach verwendet werden können. Zentralisierte Services können logisch zentral sein, anstatt als monolithisches System implementiert zu werden. Mit diesem Ansatz können Sie Services anbieten, die die Anforderungen Ihrer Entwickler erfüllen. Sie sollten eine effiziente Methode implementieren, mit der dem Repository im Falle von Updates oder neuen Anforderungen Pakete hinzugefügt werden können. Mithilfe von AWS-Services wie AWS CodeArtifact oder ähnlichen AWS-Partnerlösungen kann diese Funktion bereitgestellt werden.

Implementierungsschritte

  • Implementieren Sie einen logisch zentralisierten Repository-Service, der in allen Umgebungen, in denen die Software entwickelt wird, verfügbar ist.

  • Schließen Sie Zugriff auf das Repository als Komponente des AWS-Konto-Vergabeprozesses ein.

  • Entwickeln Sie eine Automatisierung zum Testen von Paketen, bevor diese in einem Repository veröffentlicht werden.

  • Pflegen Sie Metriken der am häufigsten verwendeten Pakete, Sprachen und Teams mit den häufigsten Änderungen.

  • Stellen Sie einen automatisierten Mechanismus für Entwicklerteams bereit, damit sie neue Pakete anfordern und Feedback geben können.

  • Scannen Sie regelmäßig Pakete in Ihrem Repository, um die Auswirkungen kürzlich entdeckter Probleme zu identifizieren.

Ressourcen

Zugehörige bewährte Methoden:

Zugehörige Dokumente:

Zugehörige Beispiele:

Zugehörige Videos:

Auf dieser Seite

DatenschutzNutzungsbedingungen für die WebsiteCookie-Einstellungen
© 2025, Amazon Web Services, Inc. oder Tochtergesellschaften. Alle Rechte vorbehalten.