Hvem som følger med på sårbarheter i avhengighetene deres, og hvor raskt de tettes.
Hvorfor det er viktig
Et moderne system består for det meste av tredjeparts kode. Sårbarheter oppdages ukentlig, og et system som ikke oppdateres, blir usikkert av seg selv over tid.
Eksempel på kravformulering
Leverandøren skal overvåke sårbarheter i alle tredjepartskomponenter. Kritiske sårbarheter skal lukkes innen 7 dager, høy alvorlighet innen 30 dager. Avhengigheter skal skannes automatisk ved hver bygging, og oversikt over komponenter (SBOM) skal leveres på forespørsel.
Tilpass tallene til deres virkelighet — et krav du ikke kan begrunne, er et krav du ikke bør stille.
Slik verifiserer du det
Be om en fersk sårbarhetsrapport. Spør når siste avhengighetsoppdatering ble gjort — er svaret «ved lansering for to år siden», har dere et problem.
Fallgruver
Å anta at dette er inkludert i «drift». Er det ikke skrevet ned, gjøres det ofte ikke, fordi det ikke er synlig for kunden før det smeller.
AI-perspektiv
AI-biblioteker og SDK-er endrer seg svært raskt. Sett samme oppdateringskrav her som for resten — de har ofte bredere tilgang enn folk tror.