Blog
Umgang mit Code-Schwachstellen mit SNYK.
DevOps

Umgang mit Code-Schwachstellen mit SNYK.

Hubert Kujawa
Hubert Kujawa
May 29, 2025
min read

On this page

Heading 2
Heading 3
Heading 4
Heading 5
Heading 6
Loading the Elevenlabs Text to Speech AudioNative Player...

Was sind Schwachstellen und warum stellen sie ein Risiko dar?

Schwachstellen (Vulnerabilities) sind Schwachpunkte in der Software, die von unbefugten Personen ausgenutzt werden können, um Zugang zu Daten oder zur Infrastruktur zu erhalten. Sie können in verschiedenen Elementen einer Anwendung auftreten: im Quellcode, in externen Bibliotheken oder in der Systemkonfiguration. Bedrohungen, die sich aus Schwachstellen ergeben, können potenziell zu Problemen mit Vertraulichkeit oder Verfügbarkeit führen. Sowohl Daten als auch Infrastruktur sind davon betroffen.

Die häufigsten Ursachen für Schwachstellen sind:

  1. Programmierfehler
  2. Fehlende automatisierte Sicherheitstests
  3. Schlechte Umgebungskonfiguration
  4. Veraltete Programmbibliotheken

Die Kosten und Konsequenzen, Sicherheitsprobleme zu ignorieren, können erheblich sein. Unternehmen können ihren Ruf und ihre Kunden verlieren. Der tägliche Betrieb kann gestört werden oder es kann sogar zu rechtlichen Auseinandersetzungen kommen. Die Sorge um die Sicherheit sollte für jede Organisation oberste Priorität haben, und Tools wie Snyk können das Risikomanagement erheblich unterstützen. Das Verständnis von Schwachstellen ist der erste Schritt zu deren Beseitigung.

Was ist SNYK und wie funktioniert es?

Snyk ist eine DevSecOps-Plattform, die dabei hilft, Schwachstellen in jeder Phase des Software-Lebenszyklus zu identifizieren und zu beheben. Das Tool konzentriert sich darauf, praktische Lösungen zu liefern, die es Softwareentwicklern ermöglichen, Probleme schnell zu erkennen und zu beheben. SNYK kann mit den beliebtesten Entwickler-Tools, Code-Repositories und CI/CD-Pipelines integriert werden. Dadurch kann Sicherheit ein natürlicher Bestandteil der täglichen Arbeit werden.

Zu den Hauptfunktionen von Snyk gehören das Monitoring von Container-Anwendungen, das Scannen von Infrastrukturdateien (wie Terraform oder Kubernetes), das Erkennen von Konfigurationsproblemen und das Aufdecken von Schwachstellen in Open-Source-Bibliotheken.

Snyk integriert sich mit den gängigsten DevOps- und CI/CD-Tools und schlägt Lösungen zur Behebung von Schwachstellen vor. Es unterstützt eine breite Palette von Technologien und Umgebungen und kann daher in verschiedenen Teams eingesetzt werden. Beispiele sind Programmiersprachen, Container, Cloud-Workspaces oder IaC (Infrastructure as Code).

Snyk analysiert den Quellcode der Anwendung, deren Abhängigkeiten und Konfigurationsdateien (wie Docker-Manifeste oder Terraform-Dateien). Der Scanvorgang ist schnell und kann automatisiert werden, sodass Schwachstellen bereits in einem sehr frühen Stadium erkannt werden. Nach der Erkennung einer Schwachstelle wird eine Risikobewertung durchgeführt, die hilft, sich auf die dringendsten Probleme zu konzentrieren. Für jede Schwachstelle schlägt Snyk Schritte zur Behebung vor. Nach dem ersten Scan kann Snyk Projekte in Echtzeit überwachen und Benachrichtigungen senden, wenn neue Probleme auftreten.

Praktische Anwendung von Snyk

Nach dem Projektscan erstellt Snyk einen detaillierten Bericht, der Folgendes enthält:

  1. Eine Liste der erkannten Schwachstellen mit Details, Risikobewertung (niedrig, mittel, hoch, kritisch) und zugeordneter Kategorie (z. B. Dependency-Fehler, Konfigurationsfehler)
  2. Den Pfad zur verwundbaren Quelle
  3. Vorgeschlagene Schritte zur Behebung (z. B. Bibliotheks-Upgrade oder Anpassung der Konfiguration)

Beispiele für einige von Snyk erkannte Schwachstellen:

  1. Container-Konfigurationsprobleme
    • Verwendung gefährlicher Docker-Images (Images mit veralteten Paketen)
    • Beispiel: Docker-Image, das auf einem alten Alpine-Linux-System basiert und ungepatchte Sicherheitsprobleme aufweist
  2. IaC
    • Falsche Einstellungen in Terraform- oder Kubernetes-Dateien
    • Beispiel: Fehlende Verschlüsselung in der Google Cloud Bucket-Konfiguration oder uneingeschränkter Zugriff auf Ports in GCP-Sicherheitsregeln

Wie kann man einige der erkannten Schwachstellen beheben?

Hier ist eine Tabelle mit 3 erkannten Problemen und Lösungen, wie man sie beheben kann.

  1. SQL Injection
    • Originalcode:
    • Snyk erkennt eine Schwachstelle in der letzten Zeile, weil das SQL an den BigQuery-Client nicht parametrisiert übergeben wird und somit die Möglichkeit einer SQL Injection besteht. Die Lösung besteht darin, Query-Parameter im QueryJobConfig-Objekt zu verwenden.
    • Mögliche Behebung:
    • Das Hinzufügen eines Parameters zu QueryJobConfig behebt das SQL-Injection-Problem und macht den Code deutlich widerstandsfähiger gegen unbefugte Aktionen.
  2. Code Injection
    • Originalcode:
    • Das Importieren von nicht validierten Modulen kann zu Code Injection führen. Statt einen direkten Pfad zur Bibliothek zu übergeben, kann dies auf sicherere Weise erfolgen.
    • Mögliche Behebung:
    • Das Abrufen eines Attributs des Moduls und dann des Objekts, anstatt das Modul direkt zu importieren, kann Sicherheitsprobleme verhindern.
  3. Path Traversal
    • Originalcode:
    • Beim Versuch, eine Datei aus einem nicht validierten Pfad zu öffnen, könnte ein unbefugter Benutzer versuchen, auf Dateien außerhalb des Arbeitsverzeichnisses des Projekts zuzugreifen, z. B. auf den Ordner /etc/passwd, der hochsensible Informationen enthält. Um Path Traversal zu verhindern, kann eine einfache Pfadüberprüfung implementiert werden.
    • Mögliche Behebung:
    • Eine einfache if-Klausel kann helfen, unbefugten Dateizugriff zu verhindern.

Alle oben genannten Lösungen sind Beispiele, und jede Schwachstelle kann auf verschiedene Weise angegangen werden. Jedes Mal sollte die Lösung an die eigenen Bedürfnisse angepasst werden.

Fazit

Die Sicherheit von Anwendungen ist eine der wichtigsten Herausforderungen für Entwicklerteams. Die zunehmende Nutzung von Open-Source-Bibliotheken, Containern und IaC erhöht die Wahrscheinlichkeit, dass Schwachstellen auftreten. Tools wie Snyk können der Schlüssel zum Aufbau sichererer Umgebungen sein, ohne die Effizienz von DevOps-Teams zu beeinträchtigen.

Man kann auch sagen, dass Snyk eine Strategie für das Application Security Management ist. Die Integration in bestehende Umgebungen kann das Risiko von Sicherheitsverletzungen erheblich reduzieren und gleichzeitig die Softwarebereitstellung beschleunigen. Die Einführung von Best Practices wie regelmäßigen Scans, früher Integration und Schulung der Teams ermöglicht es, sichere Anwendungen zu entwickeln. Mit Hilfe von Tools wie Snyk kann eine Organisation proaktiv Bedrohungen eliminieren und hochwertige Produkte effektiv liefern.

5-best practices fur die datenvalidierung

Effizienterer scheduler zur leistungsverbesserung in airflow-2-0

1000-airflow jobs in 5-min mit celery

Share this post
DevOps
Hubert Kujawa
MORE POSTS BY THIS AUTHOR
Hubert Kujawa

Curious how we can support your business?

TALK TO US

More insights

More news

View all

DS STREAM at Tech Show Frankfurt 2025

On 4–5 June 2025, DS STREAM will attend Tech Show Frankfurt at Messe Frankfurt. Our Data Science Analytics Senior Leader, Jakub Dubowik, will be on stage to present “Prototype to Production with MLOps,” sharing lessons from FMCG, e-commerce and utilities alongside our MLOps Pillars framework.
read more
Generative AI

Bevorstehendes Webinar: Voicebots mit Generativer KI.

Join us for a live session where we’ll explore the practical side of multilingual voicebots powered by GenAI.
read more
Generative AI

DS STREAM begrüßt einen neuen CEO: Ein neues Kapitel für Innovation und Wachstum

Wir freuen uns, einen Führungswechsel ankündigen zu können: Artur Kołazda wurde zum neuen CEO von DS STREAM ernannt. Diese Änderung markiert ein neues Kapitel und spiegelt unser kontinuierliches Engagement für kontinuierliche Verbesserungen wider.
read more