Erreichen der PCI DSS v4.0-Konformität mit Chainguard-Bildern
Was ist neu in PCI DSS v4.0
PCI DSS ist eine Reihe von Sicherheitsanforderungen, die zum Schutz sensibler Karteninhaberdaten wie Kreditkarteninformationen, Ablaufdatum, Name usw. entwickelt wurden. Alle Organisationen, die Karteninhaberdaten speichern, verarbeiten oder übermitteln, müssen die Anforderungen einhalten.
PCI DSS v4.0 ist die neueste Version der Sicherheitsanforderungen, die ab dem 1. April 2024 gelten und nach dem 1. April 2025 erforderlich sind. Unter vielen der Aktualisierungen der Anforderungen gibt es verbesserte Richtlinien, wie Unternehmen ihre Schwachstellen erkennen, verwalten und beheben können.
Anforderungen an das Schwachstellenmanagement in PCI DSS v4.0
Kontinuierliche Erkennung und Priorisierung neuer Schwachstellen
Unternehmen sind verpflichtet, alle drei Monate nach Schwachstellen zu suchen und sicherzustellen, dass alle Schwachstellen klassifiziert werden.
Anforderung 11.3.1 — Interne Schwachstellen-Scans werden mindestens alle drei Monate durchgeführt
Anforderung 11.3.1.1 — Alle anwendbaren Schwachstellen (zusätzlich zu den in Anforderung 6.3.1 definierten Hochrisiko- oder kritischen Schwachstellen-Rankings des Unternehmens) werden behandelt.
Alle Schwachstellen müssen auf der Grundlage des Risikos eingestuft werden
Diese Anforderung veranlasst Unternehmen, sich branchenbasierte Praktiken zur Klassifizierung von Schwachstellen anzusehen und ein eigenes Klassifizierungssystem zu erstellen, um alle von ihrem Scanner entdeckten Schwachstellen zu klassifizieren. Es gibt spezielle Aufforderungen zur Katalogisierung und Klassifizierung von Schwachstellen, die auch in Software von Drittanbietern gefunden wurden (Anforderung 6.3.2).
Anforderung 6.3.1 — Neue Sicherheitslücken werden unter Verwendung von branchenweit anerkannten Quellen für Sicherheitslückeninformationen identifiziert. Schwachstellen wird ein Risiko-Ranking zugewiesen, das auf Best Practices der Branche und der Berücksichtigung potenzieller Auswirkungen basiert. Schwachstellen für maßgeschneiderte und kundenspezifische Software sowie Software von Drittanbietern (z. B. Betriebssysteme und Datenbanken) werden abgedeckt.
Anforderung 6.3.2 — Ein Inventar von maßgeschneiderter und kundenspezifischer Software und Softwarekomponenten von Drittanbietern, die in maßgeschneiderte und kundenspezifische Software integriert sind, wird gepflegt, um das Verwundbarkeits- und Patch-Management zu erleichtern.
Beheben Sie alle kritischen und hohen Schwachstellen, haben Sie einen Aktionsplan für den Rest. Sobald Schwachstellen und Sicherheitslücken erkannt und klassifiziert wurden, müssen Unternehmen alle Schwachstellen auf der Grundlage ihrer Klassifizierung beheben. Dies ist eine Änderung gegenüber den bisherigen PCI DSS-Richtlinien, bei denen nur kritische und hohe Schwachstellen angegangen werden müssen. Anforderung 11.4.4 — Alle ausnutzbaren Schwachstellen und Sicherheitsschwächen müssen auf der Grundlage Ihrer Behebungsrichtlinie, wie in 6.3.1 definiert, behoben werden.
Herausforderungen mit den neuen Anforderungen an das Schwachstellenmanagement
Schwachstellenscanner können laut sein
Viele Scanner produzieren falsch positive Ergebnisse oder melden Schwachstellen, die eigentlich nicht riskant sind. Mit der Anforderung 11.4.4 müssen alle Schwachstellen untersucht und alle nicht zutreffenden Schwachstellen begründet werden. Infolgedessen müssen Unternehmen ihre Scanner auf eine bestimmte Anwendung abstimmen, um die besten Ergebnisse zu erzielen, oder mehrere Scanner ausführen, um die Ergebnisse zu korrelieren und sicherzustellen, dass Sie nur wirklich positive Ergebnisse erzielen.
Pläne zur Behebung von Schwachstellen können schwierig zu implementieren sein
Die Ausführung eines Plans zur Behebung von Schwachstellen in Ihrer gesamten Software kann sehr komplex sein. Zum Beispiel müssen Unternehmen testen, ob der Fix die Sicherheitsanfälligkeit *tatsächlich* behebt, da er manchmal ein weiteres größeres Risiko für Ihre Software mit sich bringen kann. Als Nächstes müssen Unternehmen alle Anwendungen katalogisieren und validieren, die behoben werden müssen, was mehrere Teams und weitere anwendungsspezifische Tests umfassen kann, um sicherzustellen, dass alles wie erwartet funktioniert.
Hohe Personalkosten
AppSec- oder Produktsicherheitsteams werden wahrscheinlich der Eigentümer sein, um die geeignete Abhilfemaßnahme zu erkennen, zu untersuchen und zu bestimmen. Mit der Aktualisierung in Anforderung 11.4.4, bei der alle Schwachstellen behoben werden müssen (anstatt nur kritisch und hoch), werden die Verantwortlichkeiten des Teams drastisch zunehmen. Betrachtet man nur das golang:neueste Bild, gibt es 26 kritische/hohe Schwachstellen unter insgesamt 128 Schwachstellen (Stand: 12. Mai 2024). Allein dieses Bild stellt einen Anstieg der Schwachstellen dar, die für Produktsicherheitsteams angegangen werden müssen, um fast das Vierfache.
Schnell PCI DSS v4.0-konform mit Chainguard Images
Chainguard-Bilder wurden sorgfältig entwickelt, um CVEs mit niedrigem bis keinem Wert zu enthalten. Unternehmen können sie als Quelle verwenden, um ihre Anwendungen darauf aufzubauen. Die Vorteile unserer Lösung sind:
Sie sind standardmäßig gesichert — unsere Bilder enthalten Low-to-No CVEs. Schauen Sie sich unser Bilderverzeichnis selbst an.
Umfangreiche Scanner-Partnerschaften — wir arbeiten mit den branchenführenden Scannern wie Snyk, Crowdstrike und Wiz zusammen, um nur einige zu nennen
SBOM für alle Chainguard-Bilder — erhalten volle Transparenz über die tatsächlich in unseren Bildern verwendeten Pakete und werden letztendlich in Ihrer Umgebung ausgeführt.
Weniger laufender menschlicher Overhead — jede neue Chainguard Image-Version wird sorgfältig gescannt und alle adressierbaren CVEs werden repariert.
Vertrauen Sie auf unser branchenführendes CVE-SLA — wir verpflichten uns zur Bereitstellung sicherer Software und zur Behebung von CVEs, damit Sie dies nicht tun müssen.
Chainguard bietet keine bekannten CVE-Bilder für beliebte Projekte wie Python, Go und Nginx, um nur einige zu nennen. Schauen Sie sich unser Bilderverzeichnis an, um unsere Bilder noch heute kostenlos auszuprobieren.
*Besonderer Dank gilt dem Chainguard Sales Engineering-Team für den Austausch seines tiefen Wissens über PCI DSS v4.0. Ihre Erkenntnisse waren maßgeblich daran beteiligt, den Inhalt dieses Beitrags zu gestalten und seine Richtigkeit zu gewährleisten.
Share this article
Related articles
- product
Everything we announced at Chainguard Assemble 2026
Patrick Donahue, SVP, Product
- product
Meet the Guardener: The intelligent migration expert for everyone
Sam Katzen, Director, Product Marketing, and Tony Camp, Staff Product Marketing Manager
- product
Introducing Chainguard Catalog Starter: Your choice of five free trusted container images from the best catalog
Ed Sawma, VP, Product Marketing, Anushka Iyer, Product Marketing Manager, and Tony Camp, Staff Product Manager
- product
Introducing Chainguard Agent Skills: Because your AI agent shouldn't trust strangers
Sam Katzen, Director, Product Marketing, and Reid Tatoris, VP, Product Management
- product
Introducing Chainguard Actions: CI/CD workflows you can trust
Ross Gordon, Staff Product Marketing Manager, and Reid Tatoris, VP, Product Management
- product
Introducing Chainguard Repository: A unified experience for secure-by-default open source artifacts
Ross Gordon, Staff Product Marketing Manager, and Angela Zhang, Senior Product Manager