Säkerhetsrekommendationer för DevOps-resurser

Den här artikeln innehåller de rekommendationer som du kan se i Microsoft Defender för molnet om du ansluter en Azure DevOps-, GitHub- eller GitLab-miljö med hjälp av sidan Miljöinställningar . Rekommendationerna som visas i din miljö baseras på de resurser som du skyddar och på din anpassade konfiguration.

Mer information om åtgärder som du kan vidta som svar på dessa rekommendationer finns i Åtgärda rekommendationer i Defender för molnet.

Läs mer om Säkerhetsfördelar och funktioner för DevOps.

DevOps-rekommendationer påverkar inte din säkerhetspoäng. Om du vill bestämma vilka rekommendationer som ska lösas först kan du titta på allvarlighetsgraden för varje rekommendation och dess potentiella inverkan på din säkerhetspoäng.

Azure DevOps-rekommendationer

Azure DevOps-lagringsplatser bör ha GitHub Advanced Security för Azure DevOps (GHAzDO) aktiverat

Beskrivning: DevOps-säkerhet i Defender för molnet använder en central konsol för att ge säkerhetsteam möjlighet att skydda program och resurser från kod till molnet i Azure DevOps. Med aktivering av Lagringsplatser för GitHub Advanced Security för Azure DevOps (GHAzDO), inklusive GitHub Advanced Security för Azure DevOps, får du resultat om hemligheter, beroenden och kodsårbarheter i dina Azure DevOps-lagringsplatser som finns i Microsoft Defender för molnet.

Allvarlighetsgrad: Hög

Azure DevOps-lagringsplatser bör ha hemliga genomsökningsresultat lösta

Beskrivning: Hemligheter hittades i kodlagringsplatser. Åtgärda omedelbart för att förhindra en säkerhetsöverträdelse. Hemligheter som hittas i lagringsplatser kan läcka eller identifieras av angripare, vilket leder till att ett program eller en tjänst komprometteras. Genomsökningsverktyget för Microsoft Security DevOps-autentiseringsuppgifter genomsöker endast versioner som det är konfigurerat för att köras på. Därför kanske resultatet inte återspeglar den fullständiga statusen för hemligheter i dina lagringsplatser.

Allvarlighetsgrad: Hög

Azure DevOps-lagringsplatser bör ha kodgenomsökningsresultat lösta

Beskrivning: Sårbarheter hittades i kodlagringsplatser. För att förbättra lagringsplatsernas säkerhetsstatus rekommenderar vi starkt att du åtgärdar dessa säkerhetsrisker.

Allvarlighetsgrad: Medel

Azure DevOps-lagringsplatser bör ha sårbarhetsgenomsökningsresultat för beroenden lösta

Beskrivning: Sårbarheter i beroenden som finns i kodlagringsplatser. För att förbättra lagringsplatsernas säkerhetsstatus rekommenderar vi starkt att du åtgärdar dessa säkerhetsrisker.

Allvarlighetsgrad: Medel

Azure DevOps-lagringsplatser bör ha infrastruktur när kodgenomsökningsresultaten har lösts

Beskrivning: Infrastruktur som problem med kodsäkerhetskonfiguration på lagringsplatser. Problemen upptäcktes i mallfiler. För att förbättra säkerhetsstatusen för de relaterade molnresurserna rekommenderar vi starkt att du åtgärdar dessa problem.

Allvarlighetsgrad: Medel

Azure DevOps-pipelines bör inte ha hemligheter som är tillgängliga för versioner av gafflar

Beskrivning: I offentliga lagringsplatser är det möjligt att personer utanför organisationen skapar förgreningar och kör versioner på den förgrenade lagringsplatsen. Om den här inställningen i så fall är aktiverad kan utomstående få åtkomst till att skapa pipelinehemligheter som var avsedda att vara interna.

Allvarlighetsgrad: Hög

Azure DevOps-tjänstanslutningar bör inte bevilja åtkomst till alla pipelines

Beskrivning: Tjänstanslutningar används för att skapa anslutningar från Azure Pipelines till externa tjänster och fjärrtjänster för att utföra uppgifter i ett jobb. Pipelinebehörigheter styr vilka pipelines som har behörighet att använda tjänstanslutningen. För att stödja säkerheten för pipelineåtgärderna bör tjänstanslutningar inte beviljas åtkomst till alla YAML-pipelines. Detta bidrar till att upprätthålla principen om lägsta behörighet eftersom en säkerhetsrisk i komponenter som används av en pipeline kan användas av en angripare för att attackera andra pipelines med åtkomst till kritiska resurser.

Allvarlighetsgrad: Hög

Azure DevOps-säkra filer bör inte bevilja åtkomst till alla pipelines

Beskrivning: Säkra filer ger utvecklare ett sätt att lagra filer som kan delas mellan pipelines. Dessa filer används vanligtvis för att lagra hemligheter som signeringscertifikat och SSH-nycklar. Om en säker fil beviljas åtkomst till alla YAML-pipelines kan en obehörig användare stjäla information från de säkra filerna genom att skapa en YAML-pipeline och komma åt den säkra filen.

Allvarlighetsgrad: Hög

Azure DevOps-variabelgrupper med hemliga variabler bör inte ge åtkomst till alla pipelines

Beskrivning: Variabelgrupper lagrar värden och hemligheter som du kanske vill skicka till en YAML-pipeline eller göra tillgängliga i flera pipelines. Du kan dela och använda variabelgrupper i flera pipelines i samma projekt. Om en variabelgrupp som innehåller hemligheter markeras som tillgänglig för alla YAML-pipelines kan en angripare utnyttja de tillgångar som involverar de hemliga variablerna genom att skapa en ny pipeline.

Allvarlighetsgrad: Hög

Azure DevOps klassiska Azure-tjänstanslutningar bör inte användas för att komma åt en prenumeration

Beskrivning: Använd azure resource manager-typen (ARM) för tjänstanslutningar i stället för klassiska Azure-tjänstanslutningar för att ansluta till Azure-prenumerationer. ARM-modellen erbjuder flera säkerhetsförbättringar, inklusive starkare åtkomstkontroll, förbättrad granskning, ARM-baserad distribution/styrning, åtkomst till hanterade identiteter och nyckelvalv för hemligheter, Entra-behörighetsbaserad autentisering och stöd för taggar och resursgrupper för effektiv hantering.

Allvarlighetsgrad: Medel

(Förhandsversion) Azure DevOps-lagringsplatser bör ha api-säkerhetstestresultat lösta

Beskrivning: Säkerhetsrisker för API:et som finns i kodlagringsplatser. För att förbättra lagringsplatsernas säkerhetsstatus rekommenderar vi starkt att du åtgärdar dessa säkerhetsrisker.

Allvarlighetsgrad: Medel

(Förhandsversion) Azure DevOps-lagringsplatser bör kräva minst två granskarens godkännande för kod push-överföring

Beskrivning: För att förhindra att oavsiktliga eller skadliga ändringar checkas in direkt är det viktigt att implementera skyddsprinciper för standardgrenen i Azure DevOps-lagringsplatser. Vi rekommenderar att du kräver att minst två kodgranskare godkänner pull-begäranden innan koden sammanfogas med standardgrenen. Genom att kräva godkännande från minst två granskare kan du minska risken för obehöriga ändringar, vilket kan leda till systeminstabilitet eller säkerhetsrisker.

Den här rekommendationen tillhandahålls i den grundläggande säkerhetsstatusen i Defender för molnet om du har anslutit Azure DevOps till Defender för molnet.

Allvarlighetsgrad: Hög

(Förhandsversion) Azure DevOps-lagringsplatser bör inte tillåta att begäranden godkänner sina egna pull-begäranden

Beskrivning: För att förhindra att oavsiktliga eller skadliga ändringar checkas in direkt är det viktigt att implementera skyddsprinciper för standardgrenen i Azure DevOps-lagringsplatser. Vi rekommenderar att du förbjuder pull-begärandeskapare att godkänna sina egna bidrag för att säkerställa att varje ändring genomgår objektiv granskning av någon annan än författaren. Genom att göra detta kan du minska risken för obehöriga ändringar, vilket kan leda till systeminstabilitet eller säkerhetsrisker.

Den här rekommendationen tillhandahålls i den grundläggande säkerhetsstatusen i Defender för molnet om du har anslutit Azure DevOps till Defender för molnet.

Allvarlighetsgrad: Hög

(Förhandsversion) Azure DevOps-projekt bör ha inaktiverat skapandet av klassiska pipelines

Beskrivning: Om du inaktiverar skapandet av klassiska bygg- och versionspipelines hindrar du ett säkerhetsproblem som härrör från YAML och klassiska pipelines som delar samma resurser, till exempel samma tjänstanslutningar. Potentiella angripare kan använda klassiska pipelines för att skapa processer som undviker vanliga försvarsmekanismer som konfigurerats kring moderna YAML-pipelines.

Allvarlighetsgrad: Hög

GitHub-rekommendationer

GitHub-organisationer bör inte göra åtgärdshemligheter tillgängliga för alla lagringsplatser

Beskrivning: För hemligheter som används i GitHub Action-arbetsflöden som lagras på GitHub-organisationsnivå kan du använda åtkomstprinciper för att styra vilka lagringsplatser som kan använda organisationshemligheter. Med hemligheter på organisationsnivå kan du dela hemligheter mellan flera lagringsplatser. Detta minskar behovet av att skapa duplicerade hemligheter. Men när en hemlighet har gjorts tillgänglig för en lagringsplats kan alla med skrivåtkomst på lagringsplatsen komma åt hemligheten från vilken gren som helst i ett arbetsflöde. För att minska attackytan kontrollerar du att hemligheten endast är tillgänglig från valda lagringsplatser.

Den här rekommendationen tillhandahålls i den grundläggande säkerhetsstatusen i Defender för molnet om du har anslutit Azure DevOps till Defender för molnet.

Allvarlighetsgrad: Hög

GitHub-lagringsplatser ska ha hemlig genomsökning aktiverat

Beskrivning: GitHub söker igenom lagringsplatser efter kända typer av hemligheter för att förhindra bedräglig användning av hemligheter som av misstag har checkats in på lagringsplatser. Hemlig genomsökning söker igenom hela Git-historiken på alla grenar som finns på GitHub-lagringsplatsen efter hemligheter. Exempel på hemligheter är token och privata nycklar som en tjänstleverantör kan utfärda för autentisering. Om en hemlighet checkas in på en lagringsplats kan alla som har läsbehörighet till lagringsplatsen använda hemligheten för att komma åt den externa tjänsten med dessa privilegier. Hemligheter ska lagras på en dedikerad och säker plats utanför lagringsplatsen för projektet.

Allvarlighetsgrad: Hög

GitHub-lagringsplatser ska ha kodgenomsökning aktiverat

Beskrivning: GitHub använder kodgenomsökning för att analysera kod för att hitta säkerhetsrisker och fel i koden. Kodgenomsökning kan användas för att hitta, sortera och prioritera korrigeringar för befintliga problem i koden. Kodgenomsökning kan också hindra utvecklare från att införa nya problem. Genomsökningar kan schemaläggas för specifika dagar och tider, eller genomsökningar kan utlösas när en specifik händelse inträffar på lagringsplatsen, till exempel en push-överföring. Om kodgenomsökningen hittar en potentiell säkerhetsrisk eller ett fel i koden visar GitHub en avisering på lagringsplatsen. En säkerhetsrisk är ett problem i ett projekts kod som kan utnyttjas för att skada projektets konfidentialitet, integritet eller tillgänglighet.

Allvarlighetsgrad: Medel

GitHub-lagringsplatser ska ha Dependabot-genomsökning aktiverat

Beskrivning: GitHub skickar Dependabot-aviseringar när den identifierar säkerhetsrisker i kodberoenden som påverkar lagringsplatser. En säkerhetsrisk är ett problem i ett projekts kod som kan utnyttjas för att skada konfidentialiteten, integriteten eller tillgängligheten för projektet eller andra projekt som använder koden. Sårbarheter varierar i typ, allvarlighetsgrad och attackmetod. När koden är beroende av ett paket som har en säkerhetsrisk kan det här sårbara beroendet orsaka en rad problem.

Allvarlighetsgrad: Medel

GitHub-lagringsplatser bör ha hemliga genomsökningsresultat lösta

Beskrivning: Hemligheter som finns i kodlagringsplatser. Detta bör åtgärdas omedelbart för att förhindra en säkerhetsöverträdelse. Hemligheter som hittas i lagringsplatser kan läckas eller identifieras av angripare, vilket leder till att ett program eller en tjänst komprometteras.

Allvarlighetsgrad: Hög

GitHub-lagringsplatser bör ha kodgenomsökningsresultat lösta

Beskrivning: Sårbarheter som finns i kodlagringsplatser. För att förbättra lagringsplatsernas säkerhetsstatus rekommenderar vi starkt att du åtgärdar dessa säkerhetsrisker.

Allvarlighetsgrad: Medel

GitHub-lagringsplatser bör ha upptäckter av sårbarhetsgenomsökning av beroenden lösta

Beskrivning: GitHub-lagringsplatser bör ha upptäckter av sårbarhetsgenomsökning av beroenden lösta.

Allvarlighetsgrad: Medel

GitHub-lagringsplatser bör ha infrastruktur när kodgenomsökningsresultaten har lösts

Beskrivning: Infrastruktur som problem med kodsäkerhetskonfiguration hittades i lagringsplatser. Problemen upptäcktes i mallfiler. För att förbättra säkerhetsstatusen för de relaterade molnresurserna rekommenderar vi starkt att du åtgärdar dessa problem.

Allvarlighetsgrad: Medel

GitHub-lagringsplatser bör ha skyddsprinciper för standardgren aktiverat

Beskrivning: Standardgrenen för lagringsplatsen bör skyddas via principer för grenskydd för att förhindra att oavsiktliga/skadliga ändringar checkas in direkt på lagringsplatsen.

Allvarlighetsgrad: Hög

GitHub-lagringsplatser ska ha framtvingade push-överföringar till standardgrenen inaktiverad

Beskrivning: Eftersom standardgrenen vanligtvis används för distribution och andra privilegierade aktiviteter bör eventuella ändringar av den hanteras med försiktighet. Aktivering av framtvingade push-meddelanden kan medföra oavsiktliga eller skadliga ändringar i standardgrenen.

Allvarlighetsgrad: Medel

GitHub-organisationer bör ha aktiverat push-skydd för hemlig genomsökning

Beskrivning: Push Protection blockerar incheckningar som innehåller hemligheter, vilket förhindrar oavsiktlig exponering av hemligheter. För att undvika risken för exponering av autentiseringsuppgifter bör Push Protection automatiskt aktiveras för varje hemlig genomsökningsaktiverad lagringsplats.

Allvarlighetsgrad: Hög

GitHub-lagringsplatser ska inte använda lokalt installerade löpare

Beskrivning: Lokalt installerade löpare på GitHub saknar garantier för drift i tillfälliga rena virtuella datorer och kan ständigt komprometteras av obetrodd kod i ett arbetsflöde. Därför bör lokalt installerade löpare inte användas för åtgärdsarbetsflöden.

Allvarlighetsgrad: Hög

GitHub-organisationer bör ha behörigheter för åtgärdsarbetsflödet inställda på skrivskyddade

Beskrivning: Som standard bör åtgärdsarbetsflöden beviljas skrivskyddade behörigheter för att förhindra att skadliga användare utnyttjar överbehörighetade arbetsflöden för att få åtkomst till och manipulera resurser.

Allvarlighetsgrad: Hög

GitHub-organisationer bör ha fler än en person med administratörsbehörighet

Beskrivning: Om du har minst två administratörer minskar risken för att administratörsåtkomsten går förlorad. Detta är användbart i händelse av scenarier med brytglaskonton.

Allvarlighetsgrad: Hög

GitHub-organisationer bör ha grundläggande behörigheter inställda på inga behörigheter eller läsbehörigheter

Beskrivning: Grundläggande behörigheter ska anges till ingen eller läsas för att en organisation ska kunna följa principen om minsta behörighet och förhindra onödig åtkomst.

Allvarlighetsgrad: Hög

(Förhandsversion) GitHub-lagringsplatser bör ha api-säkerhetstestresultat lösta

Beskrivning: Säkerhetsrisker för API hittades i kodlagringsplatser. För att förbättra lagringsplatsernas säkerhetsstatus rekommenderar vi starkt att du åtgärdar dessa säkerhetsrisker.

Allvarlighetsgrad: Medel

(Förhandsversion) GitHub-organisationer bör inte göra åtgärdshemligheter tillgängliga för alla lagringsplatser

Beskrivning: För hemligheter som används i GitHub Action-arbetsflöden som lagras på GitHub-organisationsnivå kan du använda åtkomstprinciper för att styra vilka lagringsplatser som kan använda organisationshemligheter. Med hemligheter på organisationsnivå kan du dela hemligheter mellan flera lagringsplatser, vilket minskar behovet av att skapa duplicerade hemligheter. Men när en hemlighet görs tillgänglig för en lagringsplats kan alla som har skrivåtkomst på lagringsplatsen komma åt hemligheten från vilken gren som helst i ett arbetsflöde. För att minska attackytan kontrollerar du att hemligheten endast är tillgänglig från valda lagringsplatser.

Allvarlighetsgrad: Hög

(Förhandsversion) GitHub-organisationer bör blockera Copilot-förslag som matchar offentlig kod

Beskrivning: Om du aktiverar GitHub Copilots filter för att blockera kodförslag som matchar offentlig kod på GitHub förbättras säkerheten och den juridiska efterlevnaden. Det förhindrar oavsiktligt införlivande av offentlig eller öppen källkod, vilket minskar risken för juridiska problem och säkerställer efterlevnad av licensvillkor. Dessutom hjälper det till att undvika att införa potentiella sårbarheter från offentlig kod i organisationens projekt och därmed upprätthålla högre kodkvalitet och säkerhet. När filtret är aktiverat kontrollerar GitHub Copilot kodförslag med en omgivande kod på cirka 150 tecken mot offentlig kod på GitHub. Om det finns en matchning eller nära matchning visas inte förslaget.

Allvarlighetsgrad: Hög

(Förhandsversion) GitHub-organisationer bör framtvinga multifaktorautentisering för externa medarbetare

Beskrivning: Att framtvinga multifaktorautentisering för externa medarbetare i en GitHub-organisation är en säkerhetsåtgärd som kräver att medarbetare använder ytterligare en form av identifiering förutom sitt lösenord för att få åtkomst till organisationens lagringsplatser och resurser. Detta förbättrar säkerheten genom att skydda mot obehörig åtkomst, även om ett lösenord komprometteras, och hjälper till att säkerställa efterlevnad av branschstandarder. Det handlar om att informera medarbetare om kravet och ge stöd för övergången, vilket i slutändan minskar risken för dataintrång.

Allvarlighetsgrad: Hög

(Förhandsversion) GitHub-lagringsplatser bör kräva minst godkännande av två granskare för kod push-överföring

Beskrivning: För att förhindra att oavsiktliga eller skadliga ändringar checkas in direkt är det viktigt att implementera skyddsprinciper för standardgrenen i GitHub-lagringsplatser. Vi rekommenderar att du kräver att minst två kodgranskare godkänner pull-begäranden innan koden sammanfogas med standardgrenen. Genom att kräva godkännande från minst två granskare kan du minska risken för obehöriga ändringar, vilket kan leda till systeminstabilitet eller säkerhetsrisker.

Allvarlighetsgrad: Hög

GitLab-rekommendationer

GitLab-projekt bör ha hemliga genomsökningsresultat lösta

Beskrivning: Hemligheter hittades i kodlagringsplatser. Detta bör åtgärdas omedelbart för att förhindra en säkerhetsöverträdelse. Hemligheter som hittas i lagringsplatser kan läckas eller identifieras av angripare, vilket leder till att ett program eller en tjänst komprometteras.

Allvarlighetsgrad: Hög

GitLab-projekt bör ha kodgenomsökningsresultat lösta

Beskrivning: Sårbarheter hittades i kodlagringsplatser. För att förbättra lagringsplatsernas säkerhetsstatus rekommenderar vi starkt att du åtgärdar dessa säkerhetsrisker.

Allvarlighetsgrad: Medel

GitLab-projekt bör ha problem med sårbarhetsgenomsökning av beroenden lösta

Beskrivning: GitHub-lagringsplatser bör ha upptäckter av sårbarhetsgenomsökning av beroenden lösta.

Allvarlighetsgrad: Medel

GitLab-projekt bör ha infrastruktur när kodgenomsökningsresultaten har lösts

Beskrivning: Infrastruktur som problem med kodsäkerhetskonfiguration hittades i lagringsplatser. De problem som visades upptäcktes i mallfiler. För att förbättra säkerhetsstatusen för de relaterade molnresurserna rekommenderar vi starkt att du åtgärdar dessa problem.

Allvarlighetsgrad: Medel

Inaktuella Säkerhetsrekommendationer för DevOps

Kodlagringsplatser bör ha kodgenomsökningsresultat lösta

Beskrivning: DevOps-säkerhet i Defender för molnet har hittat säkerhetsrisker i kodlagringsplatser. För att förbättra lagringsplatsernas säkerhetsstatus rekommenderar vi starkt att du åtgärdar dessa säkerhetsrisker. (Ingen relaterad princip)

Allvarlighetsgrad: Medel

Kodlagringsplatser bör ha hemliga genomsökningsresultat lösta

Beskrivning: DevOps-säkerhet i Defender för molnet har hittat en hemlighet i kodlagringsplatser. Detta bör åtgärdas omedelbart för att förhindra en säkerhetsöverträdelse. Hemligheter som hittas i lagringsplatser kan läckas eller identifieras av angripare, vilket leder till att ett program eller en tjänst komprometteras. För Azure DevOps genomsöker Microsoft Security DevOps CredScan-verktyget endast versioner som det har konfigurerats att köras på. Därför kanske resultatet inte återspeglar den fullständiga statusen för hemligheter i dina lagringsplatser. (Ingen relaterad princip)

Allvarlighetsgrad: Hög

Kodlagringsplatser bör ha Dependabot-genomsökningsresultat lösta

Beskrivning: DevOps-säkerhet i Defender för molnet har hittat säkerhetsrisker i kodlagringsplatser. För att förbättra lagringsplatsernas säkerhetsstatus rekommenderar vi starkt att du åtgärdar dessa säkerhetsrisker. (Ingen relaterad princip)

Allvarlighetsgrad: Medel

Kodlagringsplatser bör ha infrastruktur när kodgenomsökningsresultaten har lösts

Beskrivning: DevOps-säkerhet i Defender för molnet har hittat infrastruktur som problem med kodsäkerhetskonfiguration i lagringsplatser. De problem som visades upptäcktes i mallfiler. För att förbättra säkerhetsstatusen för de relaterade molnresurserna rekommenderar vi starkt att du åtgärdar dessa problem. (Ingen relaterad princip)

Allvarlighetsgrad: Medel

GitHub-lagringsplatser ska ha kodgenomsökning aktiverat

Beskrivning: GitHub använder kodgenomsökning för att analysera kod för att hitta säkerhetsrisker och fel i koden. Kodgenomsökning kan användas för att hitta, sortera och prioritera korrigeringar för befintliga problem i koden. Kodgenomsökning kan också hindra utvecklare från att införa nya problem. Genomsökningar kan schemaläggas för specifika dagar och tider, eller genomsökningar kan utlösas när en specifik händelse inträffar på lagringsplatsen, till exempel en push-överföring. Om kodgenomsökningen hittar en potentiell säkerhetsrisk eller ett fel i koden visar GitHub en avisering på lagringsplatsen. En säkerhetsrisk är ett problem i ett projekts kod som kan utnyttjas för att skada projektets konfidentialitet, integritet eller tillgänglighet. (Ingen relaterad princip)

Allvarlighetsgrad: Medel

GitHub-lagringsplatser ska ha hemlig genomsökning aktiverat

Beskrivning: GitHub söker igenom lagringsplatser efter kända typer av hemligheter för att förhindra bedräglig användning av hemligheter som av misstag har checkats in på lagringsplatser. Hemlig genomsökning söker igenom hela Git-historiken på alla grenar som finns på GitHub-lagringsplatsen efter hemligheter. Exempel på hemligheter är token och privata nycklar som en tjänstleverantör kan utfärda för autentisering. Om en hemlighet checkas in på en lagringsplats kan alla som har läsbehörighet till lagringsplatsen använda hemligheten för att komma åt den externa tjänsten med dessa privilegier. Hemligheter ska lagras på en dedikerad och säker plats utanför lagringsplatsen för projektet. (Ingen relaterad princip)

Allvarlighetsgrad: Hög

GitHub-lagringsplatser ska ha Dependabot-genomsökning aktiverat

Beskrivning: GitHub skickar Dependabot-aviseringar när den identifierar säkerhetsrisker i kodberoenden som påverkar lagringsplatser. En säkerhetsrisk är ett problem i ett projekts kod som kan utnyttjas för att skada konfidentialiteten, integriteten eller tillgängligheten för projektet eller andra projekt som använder koden. Sårbarheter varierar i typ, allvarlighetsgrad och attackmetod. När koden är beroende av ett paket som har en säkerhetsrisk kan det här sårbara beroendet orsaka en rad problem. (Ingen relaterad princip)

Allvarlighetsgrad: Medel

Relaterat innehåll

• Lär dig mer om säkerhetsrekommendationer
• Granska säkerhetsrekommendationer