Säkerhetskontroll

Sårbara beroenden: vet vilka som faktiskt kan träffa dig

De flesta säkerhetslarm om beroenden är brus. Vi kör beroende-audit på dina lockfiler och lyfter fram de allvarligaste — så du fixar rätt saker först.

Kör gratis domänscan Alla kontroller →
Berör: NIS2 · art. 21 — leverantörskedjesäkerhet ISO 27001 · A.8.8 tekniska sårbarheter PCI DSS · krav 6

Vad kontrolleras?

Vi läser dina lockfiler och kör beroende-audit (pip-audit för Python, npm audit för JS/TS) mot kända sårbarhetsdatabaser (inkl. OSV). Exploaterbarhets-prioritering — CISA KEV (bevisat exploaterat) och EPSS (sannolikhet) — tillhandahålls via vår Threat Radar-modul för kunder som har den.

Varför spelar det roll?

Ett beroende-larm på CVSS 9.8 i ett build-verktyg som aldrig körs i produktion är inte samma sak som en aktivt exploaterad sårbarhet i en internetexponerad tjänst. NIS2 kräver leverantörskedjesäkerhet — men bara om prioriteringen är rätt blir arbetet görbart.

Hur Security Guru testar det

Vanliga fel

  • Jaga alla CVSS-höga larm utan hänsyn till nåbarhet — utmattar teamet
  • Dependabot-PR:er som ingen granskar staplas oöppnade
  • Ingen koll på transitiva beroenden (det är oftast där de sitter)
  • Låsta versioner som aldrig uppdateras 'för att inget ska gå sönder'

Vad du får i rapporten

  • Sårbara beroenden rankade efter faktisk exploaterbarhet
  • KEV-träffar (bevisat exploaterade) markerade separat
  • Fix-version per beroende och om uppdateringen är brytande
  • Mappning mot NIS2 leverantörskedja / ISO A.8.8

Vanliga frågor

Skiljer ni på prod och dev?

Ja. Build- och dev-beroenden de-eskaleras eftersom de inte är en körande attackyta — det tar bort en stor del av bruset.

Vad är KEV?

CISA:s Known Exploited Vulnerabilities — sårbarheter som bevisat utnyttjas i verkligheten. De prioriteras alltid högst.

Ersätter det Dependabot?

Nej, det kompletterar. Vi lägger prioritering efter exploaterbarhet ovanpå råa larm så listan blir görbar.

Vill du veta din status?

Kör en gratis scan eller beställ en full Security Assessment — prioriterat, inte brus.

Kör gratis domänscan