Der Installationsschritt ist der gefährlichste Moment deines Tages

Eine kompromittierte Abhängigkeit richtet ihren Schaden bereits bei der Installation an. Skripte nach der Installation werden ausgeführt, Code wird abgearbeitet und bis ein Scanner das bemerkt, hat sie den Rechner bereits befallen. Die entscheidende Abwehrmaßnahme ist die, die vor diesem Moment greift.

Warum „danach“ zu spät ist

Schwachstellen-Dashboards und Audit-Berichte sind nützlich, aber sie blicken nur zurück. Sie zeigen einem Entwickler, was bereits installiert ist. Ein Angreifer, der eine bösartige Version in ein beliebtes Paket einschleust, setzt genau auf diese Lücke – die Stunden oder Tage zwischen Veröffentlichung und Entdeckung –, um so viele Rechner wie möglich zu infizieren.

Frisch veröffentlichte releases sind die größte Gefahr bei diesem Problem. Eine brandneue release wurde noch am wenigsten geprüft, daher ist die Wahrscheinlichkeit, dass sie bösartig ist, am größten, während die Wahrscheinlichkeit, dass sie bereits als gefährlich markiert wurde, am geringsten ist.

Verschiebe den Termin nach vorne

Ein Pre-Install-Gate verändert die Abfolge der Vorgänge. Es ermittelt, was ein Paketmanager gerade installieren will, überprüft jedes Paket anhand der öffentlichen Schwachstellendatenbanken – NIST NVD, OSV.dev, die GitHub Advisory-Datenbank – und bricht den Vorgang ab, wenn etwas als schädlich bekannt oder verdächtig neu ist. Es wird nichts geschrieben und nichts ausgeführt, bis die Prüfung erfolgreich abgeschlossen ist.

Das ist der Grundgedanke hinter den 5bats-CVE-Gates für pip , Composer und Homebrew : Den sichersten Moment zum Standard zu machen, ohne dass man sich einen zusätzlichen Schritt merken muss.

Scheitere und bleib langweilig

Sicherheitstools gewinnen Vertrauen, indem sie vorhersehbar sind. Ein 5bats-Gate, das etwas nicht verifizieren kann, lehnt es ab – jedes Mal, ohne Überraschungen. Langweiliger, standardmäßig aktivierter Schutz ist besser als cleverer Schutz, der erst konfiguriert werden muss.