CVE-Alter

Dieser Check überprüft die Dauer von dem Erkennen einer bekannten Sicherheitslücke (CVE) in den Abhänigigkeiten eines Projektes bis zu deren Behebung. Aktuell werden CVEs berücksichtigt, die einen Schweregrad von mindestens “High” (CVSS >= 7.0) haben. Die Schwelle für diesen Check gibt die maximale Anzahl an Tagen an, die eine bekannte Sicherheitslücke (CVE) in den Abhängigkeiten des Projekts bestehen darf, bevor sie behoben worden sein muss.

- type: VULNERABILITY_CVE_AGE
  description: Checks how quickly known vulnerabilities (CVEs) in dependencies are fixed.
  threshold:
    # time in days
    max: 1

Hintergrund

Das CVE-Alter ist die Zeitspanne zwischen dem Moment, in dem eine Sicherheitslücke (CVE) in einer Abhängigkeit eines Projekts erkannt wird, und dem Moment, in dem diese Schwachstelle behoben wird. Es geht hierbei nicht um das Datum an dem die Schwachstelle veröffentlicht wurde bzw. der CVE-Eintrag erfolgt ist, sondern wie schnell die Schwachstelle im Projekt behoben wird, nachdem sie dem Team des Projektes bekannt ist.

Ein niedriger CVE-Alter-Wert deutet darauf hin, dass das Projektteam schnell auf Sicherheitsbedrohungen reagiert und die Sicherheit des Projekts sehr ernst nimmt.

Anleitung zum Erfüllen des Checks auf openCode

Sie finden im Kapitel “Guides” Anleitungen zur Erfüllung dieses Checks auf der Plattform openCode:

Guide: Security Level 3 Badge