Dependencies aufräumen: Sicherheitslücken schließen, Build beschleunigen.
Dependency Cleanup: Sicherheitslücken schließen, ohne alles zu brechen
Veraltete Dependencies sind die am meisten unterschätzte Sicherheitsbedrohung in Webanwendungen.
Warum Dependencies veralten – und warum das gefährlich ist
Niemand vergisst Dependencies absichtlich. Aber: Ein Projekt wird gebaut, gelauncht, läuft. Niemand ist explizit für Updates verantwortlich. Sechs Monate später sind zwanzig Packages veraltet – fünf davon mit bekannten CVEs.
Das ist kein Einzelfall. Das ist Standard in Projekten ohne aktives Dependency Management.
Tools, die helfen
composer audit (PHP), npm audit / yarn audit (JavaScript), pip-audit (Python), Dependabot (GitHub-Integration, automatische PRs für Updates), Snyk (tiefere Security-Analyse, kostenlos für Open-Source-Projekte).
Die Herausforderung: Major Updates
Patch- und Minor-Updates sind meistens harmlos. Major-Version-Sprünge können Breaking Changes mitbringen. Strategie: erst verstehen was sich ändert (Changelog lesen), dann auf einer Feature-Branch testen, dann langsam migrieren.
Wer alle Updates auf einmal macht, hat bei Problemen keine Ahnung, welches Update das Problem verursacht hat.
Priorisierung
Nicht alle veralteten Dependencies sind gleich gefährlich. Priorisierung nach: Schweregrad der Vulnerability (CVSS Score), Exposition (ist das Package im Public-facing Code?), Abhängigkeitstiefe (direkte Dependency vs. transitive).
Dependency-Update-Kadenz
Mindestens einmal im Quartal aktiv prüfen. Critical Security Updates innerhalb von 24-48h. Mit Dependabot oder Renovate Bot automatisierte PRs – aber mit Review-Pflicht, nicht blind auto-merge.
Checkliste Dependency Cleanup
composer audit / npm audit Output ausgewertet
CVE-Score für kritische Issues geprüft
Update-Prioritätsliste erstellt
Feature-Branch für Major-Updates angelegt
Tests nach Update durchgelaufen
Dependabot oder Renovate für laufende Updates konfiguriert
Dependency-Audit für euer Projekt?
markom.digital führt Dependency-Audits durch und hilft bei der schrittweisen Migration auf aktuelle Versionen.
