Wie CVEs die Entwicklerproduktivität verlangsamen
Der Schmerz von CVEs
Kein (vernünftiger) Softwareentwickler oder Sicherheitsingenieur wacht aufgeregt auf, um sich mit CVEs zu befassen. Sie sind mühsam, brechen den Fokus und können sich wie Zeitverschwendung anfühlen. Aber es ist die traurige Realität, dass die Reduzierung bekannter Software-Schwachstellen (CVEs) entweder aus Compliance- oder Sicherheitsgründen Teil der täglichen Arbeit von Software-Profis geworden ist. Aus diesem Grund sind Entwickler und Sicherheitsteams zunehmend frustriert über die schiere Menge an Zeit und Mühe, die in das CVE-Management gesteckt wird.
Meine eigenen früheren Untersuchungen zum CVE-Management und zu Containern zeigen sowohl erhebliche "Zeit" -Kosten als auch negative Auswirkungen auf die Moral der Mitarbeiter. Im Wesentlichen verbringen Unternehmen, die Container bauen oder betreiben, jährlich Tausende von Stunden mit der CVE-Triage und zwingen erfahrene Entwickler, falsch positive Ergebnisse zu verfolgen und verwirrende Informationen zusammenzustellen, anstatt die nächste Killer-App zu erstellen.
Problem 1: Zeitabfluss
Die Anzahl der Stunden, die für das CVE-Management verloren gehen, ist atemberaubend. In Chainguards Bericht The True Cost of CVE Management in Containers (Die wahren Kosten des CVE-Managements in Containern) haben wir Unternehmen befragt, die jährlich zwischen Hunderten und Tausenden von Stunden für Aufgaben im Zusammenhang mit der Identifizierung, Überprüfung und Behebung von Schwachstellen aufwenden. Ein Unternehmen widmete dieser Arbeit sogar jährlich umgerechnet 10 Vollzeitbeschäftigte.
Aber wohin geht die ganze Zeit? Das Problem ist vielfältig:
Fehlalarme:
Sicherheitsscanner kennzeichnen häufig Schwachstellen, die für Ihren spezifischen Container irrelevant sind, was zu Zeitverschwendung bei der Bestätigung oder Ablehnung der Warnungen führt.
Verwirrende Informationen:
Das Durchsuchen von CVE-Beschreibungen, das Entschlüsseln von Schweregraden und das Finden praktikabler Lösungen kann eine Schnitzeljagd sein. Viele verärgerte Entwickler haben am Ende Dutzende von Browser-Tabs geöffnet, nur um eine einzige Schwachstelle zu verstehen.
Test- und Abhängigkeitskopfschmerzen:
Selbst kleinere Aktualisierungen zur Adressierung eines CVE können zeitaufwändige Regressionstests auslösen. Die Angst, die Anwendung zu beschädigen, lässt Entwickler zögern, was zu noch längeren Verzögerungen führt.
Problem 2: Jenseits der Zeit
Die Frustrationen des CVE-Managements gehen über die Stunden hinaus, die mit der Suche nach Schwachstellen verbracht werden. Die ständige Brandbekämpfung untergräbt die Produktivität der Entwickler, beeinträchtigt die Zusammenarbeit im Team und erhöht möglicherweise das Risiko eines erfolgreichen Angriffs.
Moralabfluss:
Die ständige Abwanderung von CVEs — insbesondere von False Positives — ist demoralisierend. In unserem jährlichen
bericht über CISO- und Entwicklertrends in der Software-Lieferkettensicherheit. Ein Drittel der befragten Softwareentwickler äußerte die Überzeugung, dass False Positives aus Software-Zusammensetzungsanalysetools ein großes Hindernis für eine verbesserte Software-Lieferkettensicherheit darstellen.
Containersicherheit trennen:
Es besteht eine starke Kluft zwischen der Wahrnehmung von Entwicklern und CISOs, wie aus demselben Bericht hervorgeht. Nur 43 % der Entwickler glauben, dass CISOs das Risiko von Container-Images verstehen, während nur 50 % der CISOs Entwickler als "sehr sicherheitsbewusst" einstufen. Diese Trennung untergräbt die Zusammenarbeit und erhöht das Anfälligkeitsrisiko.
Das Risiko von Exploit-Ketten:
Angreifer nutzen nicht nur große Schwachstellen aus. Sie können eine Reihe scheinbar kleinerer CVEs aneinander ketten, um eine Organisation zu gefährden. Dies bedeutet, dass selbst Schwachstellen mit geringem Schweregrad Aufmerksamkeit erfordern, was die Entwickler weiter überwältigt.
Können Updates von DIY-Betriebssystempaketen helfen?
Angesichts der massiven Belastung durch CVEs ist es logisch zu glauben, dass die Aktualisierung Ihrer Container-Images mit den neuesten Betriebssystempaketen das Risiko erheblich reduzieren würde. Sollten diese Updates schließlich keine Korrekturen für bekannte Schwachstellen enthalten? Leider ist die Realität viel enttäuschender, wie Chainguards Forschung im Zero CVE Challenge-Blogbeitrag gezeigt hat.
Selbst nach der Aktualisierung beliebter Docker Hub-Images sank die durchschnittliche CVE-Zahl um weniger als sechs Prozent. Warum? Weil selbst die neuesten offiziellen Betriebssystempakete eine große Anzahl von bereits vorhandenen CVEs enthalten. Dies zwingt Teams in den gleichen Zyklus der Jagd nach CVEs, auch nach dem, was theoretisch eine einfache Lösung sein sollte.
Vorgefertigte, gehärtete Container-Images sind besser
Der Kampf mit CVEs unterstreicht die Notwendigkeit eines anderen Ansatzes. Es ist wichtig, CVEs kontinuierlich zu patchen, wenn sie auftauchen, aber es gibt eine bessere Möglichkeit, die Belastung im Voraus zu verringern.
Chainguard-Bilder sind so konstruiert, dass sie niedrige bis keine CVEs haben. Sie sind so konzipiert, dass sie minimal sind: Sie verwenden nur das, was zum Erstellen oder Ausführen einer Anwendung erforderlich ist. Diese Images werden, wenn eine Komponentenversion verfügbar ist, schnell aktualisiert. Das Ergebnis ist, dass Entwickler zu Beginn ihrer Entwicklung mit minimalen, gehärteten Containern arbeiten können, was die Anzahl der Schwachstellen vom ersten Tag an drastisch reduziert. Dies bedeutet:
Zeit zurück für Innovationen:
Entwickler verbringen mehr Zeit damit, Produktinnovationen zu entwickeln, die Umsatz generieren und Kunden und Benutzer zufriedenstellen, ohne lauten False Positives nachzujagen oder verwirrende CVE-Daten zu navigieren.
Stärkere Sicherheitslage:
Die Minimierung von Schwachstellen reduziert die Angriffsfläche erheblich und verbessert die Sicherheitslage eines Unternehmens insgesamt.
Bessere Zusammenarbeit von Entwickler- und Sicherheitsteams:
Weniger Schwachstellen können zu weniger Reibungen zwischen Sicherheits- und Entwicklungsteams führen und eine bessere Zusammenarbeit bei den wichtigsten Aufgaben für ihr Unternehmen fördern. Hören Sie von GitGuardian über ihre Erfahrungen.
Schneller und sicherer bauen: Entdecken Sie Chainguard Images
Sind Sie bereit, sich von der CVE-Zeitsenke zu befreien? Entdecken Sie Chainguard Images und entdecken Sie, wie Sie keine Zeit mehr verschwenden und sicherere Software entwickeln können. Wende dich noch heute an unser Team, um loszulegen.
Share this article
Related articles
- security
Protect your AI workloads from supply chain attacks
Anushka Iyer, Product Marketing Manager
- security
Understanding NYDFS and why it matters
Sam Katzen, Staff Product Marketing Manager
- security
Applying SOC 2 with Chainguard: A practical guide for DevOps and engineering leaders
Sam Katzen, Staff Product Marketing Manager
- security
Building digital products for the Cyber Resilience Act
Sam Katzen, Staff Product Marketing Manager
- security
Adapting Essential Eight for modern cloud environments using Chainguard
Cameron Martin, Manager, Sales Engineering, and Scott Norris, Enterprise Sales Engineer
- security
Chainguard FIPS enters 2026 with OpenSSL 3.1.2 and better CMVP visibility
Dimitri John Ledkov, Senior Principal Software Engineer, Chris Herborth, Staff Software Engineer, and John Slack, Senior Product Manager