Risky Business: Risky Biz Soap Box: How to measure vulnerability reachability

In dieser Soap-Box-Folge des "Risky Business" Podcasts spricht Moderator Patrick Gray mit Feross Aboukhadijeh, Gründer und CEO von Socket, über die Weiterentwicklung des Unternehmens vom Malware-Scanner für Open-Source-Pakete hin zu einem umfassenden Supply-Chain-Security-Anbieter. Zentrales Thema ist die sogenannte "Reachability Analysis", eine Technik, die prüft, ob gemeldete Sicherheitslücken tatsächlich in einer Anwendung ausnutzbar sind. ### Socket habe sich von einem reinen Malware-Scanner zu einem SCA-Konkurrenten entwickelt Feross Aboukhadijeh erklärt, dass Socket ursprünglich ausschließlich bösartige Pakete in Open-Source-Abhängigkeiten identifiziert habe. Mittlerweich werde auch die klassische CVE-Überprüfung angeboten – mit dem Anspruch, bestehende SCA-Tools wie Snyk oder WhiteSource zu ersetzen. "We've had customers switching off of those tools for various numbers of reasons." ### Die CVE-Flut werde durch Reachability-Filter um 90 % reduziert Klassische Scanner würden oft Tausende von Warnungen erzeugen, obwohl die meisten Lücken in der konkreten Anwendung gar nicht ausnutzbar seien. Die neue Technik prüfe, ob eine verwundbare Funktion tatsächlich erreichbar sei – mit durchschnittlich 90 % weniger Fehlalarmen. "It shows like all that work that's been done by these teams over [...] I just feel so bad for them and for the developers that are forced to fix this stuff." ### Ein dänisches Forscherteam habe die Analyse für dynamische Sprachen optimiert Socket habe das dänische Startup Kuana übernommen, das von einem Professor und drei ehemaligen Doktoranden umgesetzt worden sei. Deren Ansatz funktioniere besonders bei JavaScript, Python und Ruby – also Sprachen, für die klassische Lösungen oft versagten. "They had built the best reachability analysis solution that we'd seen." ### Ohne Quellcode-Zugriff seien 80 % Reduktion möglich Neben der tiefen Code-Analyse biete Socket eine prä-komputierte Variante an, die nur die Manifest-Dateien benötige. Unter der Annahme, dass alle exportierten Funktionen einer direkten Abhängigkeit genutzt würden, könnten bereits 60–80 % der irrelevanten CVEs herausgefiltert werden – ohne Zugriff auf den eigentlichen Quelltext. "We've literally just onboarded a customer [...] they couldn't get reachability rolled out [...] and they are switching off now." ### Phantom-Dependencies und verwaiste Pakete würden zusätzliche Risiken bergen In großen Codebasen würden oft 100.000 Abhängigkeiten quer über viele Versionen verteilt liegen. Dazu kämen "phantom dependencies", also Pakete, die nie offiziell deklariert, aber trotzdem importiert würden. Auch das Erkennen verwaister oder stillgelegter Pakete sei wichtig, da bei neuen CVEs kein Update mehr komme. ## Einordnung Die Folge ist ein klar gekennzeichnetes Werbeinterview – beide Sprecher betonen wiederholt, dass es sich um eine gesponserte Soap-Box-Sendung handelt. Patrick Gray führt zwar kritische Nachfragen, bleibt aber stets auf der technischen Ebene. Die Diskussion bleibt damit frei von politischen oder gesellschaftlichen Kontexten; es geht ausschließlich um die Effizienz von Sicherheitsprozessen in Softwareprojekten. Besonders auffällig ist die klare Nutzenbehauptung: Socket löse ein seit Jahren bekanntes Problem besser als alle Konkurrenten. Kritische Stimmen oder unabhängige Bewertungen fehlen vollständig – was angesichts des Formats als „Keynote-Interview“ jedoch erwartbar ist. Die Sendung liefert für Sicherheitsverantwortliche in großen Unternehmen einen interessanten Einblick, bleibt aber ein reines Marketing-Gespräch. Hörempfehlung: Wer sich für Supply-Chain-Security und moderne CVE-Management-Strategien interessiert, erhält hier einen kompakten Überblick über den aktuellen Stand der Technik – mit dem nötigen Bewusstsein für den werblichen Charakter.