Sebastien DuquetteAngriffe auf Lieferketten sind nicht mehr nur gelegentliche Schlagzeilen, sondern kommen mittlerweile fast wöchentlich vor. „Früh und regelmäßig aktualisieren“ war lange Zeit ein Standardratschlag in der Wartung von Software, um Sicherheitslücken schnell zu schließen. Doch die jüngste Flut von Angriffen auf Lieferketten, von denen beliebte Bibliotheken und Sicherheitstools wie Axios, TanStack, Trivy und Bitwarden betroffen sind, stellt diesen Ratschlag infrage. Das Muster ist fast immer dasselbe: Eine bösartige Version eines vertrauenswürdigen Pakets wird veröffentlicht, gelangt in Tausende von Umgebungen und wird innerhalb von Stunden oder Tagen entdeckt und entfernt. Aber dann ist der Schaden für diejenigen, die das Update als erste installiert haben, bereits angerichtet.
Deshalb plädieren viele mittlerweile für sogenannte Dependency Cooldowns, bei denen Updates nach der Veröffentlichung um einige Tage verzögert werden, da kompromittierte Pakete oft innerhalb von Stunden oder Tagen entdeckt und entfernt werden. Viele Paketmanager wie pip, npm und Cargo unterstützen diese Cooldowns inzwischen.
Cooldowns in UniGetUI einführen
Wir wollten diesen Schutz auch auf den Desktop-Bereich ausweiten, daher haben wir in UniGetUI eine Einstellung für das Mindestalter für Updates hinzugefügt, um diesen Ansatz auf Software-Aktualisierungen anzuwenden. Sobald ein Update verfügbar ist, prüft UniGetUI das Veröffentlichungsdatum des Pakets und hält es vorübergehend zurück, wenn die Version neuer als der von Ihnen festgelegte Schwellenwert ist. Nach Erreichen des Mindestalters wird das Update wie jedes andere angezeigt.
Was die Einstellung kann und was nicht
Es gibt einige Einschränkungen, die Sie kennen sollten, bevor Sie diese Einstellung aktivieren. Das Veröffentlichungsdatum ist bei WinGet-Paketen optional, und Paketmanager wie Scoop und vcpkg geben das Veröffentlichungsdatum nicht in den Paketmetadaten an. Wenn kein Veröffentlichungsdatum verfügbar ist, verhält sich UniGetUI so, als wäre das Mindestalter für Updates für diese Pakete deaktiviert. UniGetUI prüft zudem nur das Veröffentlichungsdatum des Hauptpakets; Pakete, die bei der Installation erstellt werden, können Abhängigkeiten enthalten, die neuer sind als das konfigurierte Mindestalter.
So wird sie aktiviert
Um die Konfiguration zu aktivieren, navigieren Sie in den Einstellungen zu Einstellungen für Paket-Updates und legen Sie das Mindestalter für Updates auf die Anzahl der Tage fest, die Ihrer Risikotoleranz entspricht. Diese Einstellung kann im Abschnitt Paketmanager für jeden Paketmanager individuell angepasst werden.
Abschließende Überlegungen
Schnelles Patching ist weiterhin wichtig, aber nicht mehr die einzige Optimierungsvariable. Eine kurze Wartezeit kostet Sie nur wenig in Bezug auf die Anfälligkeit für CVEs (bekannte Sicherheitslücken) und verschafft Ihnen dafür einen erheblichen Schutz vor der Art von Angriffen, die die Jahre 2025 und 2026 bislang geprägt haben. Mit dem Mindestalter für Updates können Sie für jede einzelne Umgebung und jeden einzelnen Paketmanager selbst festlegen, wo die Grenze sein soll, anstatt sich zwischen „immer die neueste Version“ und „manuelle Überprüfung aller Änderungen“ entscheiden zu müssen. Für die meisten Teams reicht bereits eine Verzögerung von zwei oder drei Tagen aus, damit die Community eine schädliche Version abfangen kann, bevor sie auf Ihren Rechnern landet.
Steven Lafortune
Patrick Pilotte
Vincent Lambert