Move Slow to Secure Things: Warum dein Projekt einen Update-Cooldown braucht

Deutsch
Dieser Vortrag wird auf Deutsch gehalten. / This Talk will be held in German.

In letzter Zeit sind Supply-Chain-Attacken in aller Munde. Die jüngsten Vorfälle wie z.B. die “Shai-Hulud”-Attacke oder der axios-Vorfall im npm-Ökosystem zeigen, wie schnell sich Schadcode über scheinbar harmlose Updates verbreiten kann. Während früher das Motto „so schnell wie möglich updaten“ galt, ist heute eine neue Strategie gefragt: der Update-Cooldown.

In diesem Vortrag beleuchte ich, warum npm-Projekte besonders anfällig sind, welche Risiken durch automatisierte Updates mit Renovate entstehen und wie ein gezielter Cooldown die Angriffsfläche reduziert – ohne dabei kritische Sicherheitsupdates zu verzögern. Ihr erfahrt, wie sich das Zusammenspiel von Package Manager und Renovate am Beispiel des JavaScript-Ökosystems optimal gestalten lässt, um Sicherheit und Aktualität in Balance zu bringen.

Als Bonus demonstriere ich stellvertretend die Shai-Hulud-Attacke und zeige, mit welchem konkreten Handgriff man sich gegen diese Art Angriff absichern kann.

Vorkenntnisse im Bereich JavaScript/TypeScript oder mit Paketmanagern wie npm, yarn oder pnpm sind hilfreich, aber nicht zwingend erforderlich – die wichtigsten Grundlagen werden im Vortrag erklärt.

Nach dem Vortrag wisst ihr, warum npm-Projekte besondere Aufmerksamkeit verdienen, wie ihr eine Update-Strategie mit Cooldown praktisch umsetzt und wie ihr dabei trotzdem schnell auf kritische CVEs reagieren könnt. Ihr nehmt konkrete Best Practices und Tools mit, die sich direkt im eigenen Projekt anwenden lassen.
Bertram Vogel Bertram Vogel beschäftigt sich seit über zehn Jahren mit allem, was nötig ist, um Webanwendungen im Cloud-Umfeld erfolgreich auf die Beine zu stellen. Er arbeitet als Senior IT Consultant bei der codecentric AG am Standort Erfurt. Neben den Feinheiten von TypeScript und React liegt sein Fokus aktuell auf dem Thema "Supply-Chain-Security".