:quality(80)/p7i.vogel.de/wcms/c8/6b/c86bfadc9400e3859e5a8173b99872db/0114956871.jpeg "Für das große Gewinnerbild standen dann alle Preisträgerinnen und Preisträger noch einmal gemeinsam mit Moderatorin Margit Lievertz und Dev-Insider-Chefredakteur Stephan Augsten auf der Bühne. (Bild: krassevideos.de / VIT)")
:quality(80)/p7i.vogel.de/wcms/82/e2/82e20061fab6f1fc0561f023c6bfd2cc/0114109627.jpeg "Dev-Insider verleiht heute die IT-Awards 2023 in sechs Kategorien. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/5f/f4/5ff47683e4bc8de6cf2d484e627c58f2/0107845613.jpeg "Wir präsentieren die Gewinnerinnen und Gewinner der Dev-Insider Readers’ Choice Awards, (Bild: VIT)")
:quality(80)/p7i.vogel.de/wcms/55/d8/55d8de7a538dd09179a73c8038cf4147/0107796204.jpeg "Zum achten Mal verleihen die Insider-Portale die IT-Awards, nach zwei virtuellen Events wieder im Rahmen einer Abendgala. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/8c/54/8c54744c036ec61da10210ccedac6e6f/0115622026.jpeg "Automatisierte Sicherheit gehört für viele Unternehmen schon dazu, berichtet Synopsys. (Bild: PandaStockArt - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/7f/fa/7ffa1340ab62def05e1f90e0e829e170/0115309401.jpeg "Unternehmensweit sind eine engere Zusammenarbeit und eine gemeinsame Sichtbarkeit für alle Dev-, Sec- und Ops-Teams vonnöten. (Bild: Murrstock - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e8/10/e8103ad3c912d1b400312f5b58c2eddd/0114050691.jpeg "Der Autor: Andrej Nikonov ist KI-Experte und Geschäftsführer von Cloudflight München (Bild: Cloudflight)")
:quality(80)/p7i.vogel.de/wcms/a8/4d/a84d6e9a2b83c4638bac6813943e87e0/0115489095.jpeg "Kontinuierliches Testing über den gesamten Software Development Lifecycle hinweh will Veracode mit den neuen Lösungen noch besser unterstützen. (© ArtemisDiana - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/03/78/0378db755cdc799a84e4d47a02c8b898/0115139555.jpeg "Der Chatbot samt ChatGPT-Integration. (Bild: Lang / Botpress)")
:quality(80)/p7i.vogel.de/wcms/c6/77/c6778a56d0b6c6c4f0cd541bf8f87286/0115365909.jpeg "Die Linux-Kernel-Technologie eBPF hilft, Transparenz in die Kommunikation von Kubernetes-Clustern zu bringen. (Bild: <a href=https://unsplash.com/photos/background-pattern-GSiEeoHcNTQ>Growtika</a>)")
:quality(80)/p7i.vogel.de/wcms/ee/71/ee7167e6c8ba4f0af6075f0aedb53d94/0115097582.jpeg "Zwar entfällt das Infrastruktur-Management beim Serverless Computing weitestgehend, doch das wirft wiederum auch Nachteile auf. (Bild: <a href=https://pixabay.com/users/akitada31-172067/>Roman</a>)")
:quality(80)/p7i.vogel.de/wcms/3a/86/3a861660380c36be8f5c30437efc7f0c/0115482665.jpeg "Visual Studio Code lässt sich als ein Flatpak von Flathub beziehen und auf einer beliebigen unterstützen Distribution mit einem simplen Befehl einrichten. (Bild: Flathub.org / Microsoft)")
:quality(80)/p7i.vogel.de/wcms/14/7c/147c7bac4c8372a856eb6d7938b0295f/0115093862.jpeg "Von Key-Value-Stores über In-Memory- bis hin zu Graph-Datenbanken: NoSQL kennzeichnet sich durch verschiedene Typen, die oft kombiniert werden. (Bild: <a href=https://pixabay.com/users/placidplace-25572496/>Placidplace</a>)")
:quality(80)/p7i.vogel.de/wcms/51/1b/511b16729b1ca7ba78518feb2dd8bbf5/0114533620.jpeg "Sqlectron erleichtert die Datenbankadministration in heterogenen Umgebungen. (Bild: ©gorodenkoff, Getty Images via Canva.com)")
:quality(80)/p7i.vogel.de/wcms/7e/53/7e53270c23873649b7e27c3fec4b36f8/0115274382.jpeg "Technische Schulden häufen sich beinahe zwangsläufig an, Ki kann diesen Prozess leider deutlich beschleunigen. (Bild: <a href=https://unsplash.com/de/@and_machines>and machines</a>)")
:quality(80)/p7i.vogel.de/wcms/a2/6d/a26d6b9b81ed85fae9f94b4893ab44d3/0115643756.jpeg "Der Cyber Resilience Act soll die Besonderheiten in der Entwicklung von Open-Source-Projekten berücksichtigen. (© Duncan Andison - adobe.stock.com)")
:quality(80)/p7i.vogel.de/wcms/88/94/88946f4dedd1bf482b02fd8885d8eae0/0115579192.jpeg "Vielen Unternehmen fehlt der Überblick, welche APIs es gibt und wohin genau welche Daten mit welcher Kritikalität über diese Schnittstellen fließen. (Bild: Murrstock - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e6/a1/e6a1fdcb119277fc720bd9410701c4cf/0115261467.jpeg "Der Low- und No-Code-Trend verändert die Art und Weise, wie Unternehmen Apps für ihre Bedürfnisse erstellen. (Bild: <a href=https://pixabay.com/users/dinesh_pal-26281818/>Dinesh_pal</a>)")
:quality(80)/p7i.vogel.de/wcms/01/d0/01d02743d019010886e4fe0d47222d72/0115628204.jpeg "Der Autor Fabian Tröltzsch auf der w3.vision X DMEXCO 2023. (© koelnmesse)")
:quality(80)/p7i.vogel.de/wcms/7a/59/7a595755b165e6d0939b52bc4bb82e9d/0113646230.jpeg "Blockchain-Technologien schaffen Vertrauen, was auch beim programmatischer Werbung von Vorteil ist. (Bild: <a href=https://pixabay.com/de/users/kiquebg-5133331/>kiquebg</a>)")
:quality(80)/p7i.vogel.de/wcms/fc/5d/fc5d51c434c66a36ab98ec88e33f3f11/0113457541.jpeg "Das Blockchain Competence Center Mittweida veranstaltet die gesamte Blockchain Autumn School 2023 über Zoom. (Bild: BCCM)")
:quality(80)/p7i.vogel.de/wcms/31/d6/31d6c005205f8dde8b88c2130c4b64ce/0115047701.jpeg "Bei einer Variablen richtet sich die Wahl des optimalen Datentyps nach dem zu erwartenden Inhalt. (Bild: <a href=https://pixabay.com/users/kuszapro-369349/>Christopher Kuszajewski</a>)")
:quality(80)/p7i.vogel.de/wcms/96/41/96410d07dd40694b8b473af9054e730c/0115019701.jpeg "Vor dem Ausführen wird Code in eine maschinell lesbare Form gebracht – und hierfür sind feste Regeln sinnvoll. (Bild: <a href=https://pixabay.com/users/johnsonmartin-724525/>Johnson Martin</a>)")
:quality(80)/p7i.vogel.de/wcms/2f/8e/2f8ede1d9d1dc4ae64f9d1fdd8cffb8f/0115091212.jpeg "In seinem Selbstverständnis als DevSecOps-Anbieter bietet GitLab über die reine Code-Verwaltung mit Git hinaus viele weitere Funktionen. (Bild: GitLab)")
:quality(80)/p7i.vogel.de/wcms/c2/21/c2213857722c33ef3d02db0acf33abc0/0112236476.jpeg "So sehen Chiselled Ubuntu containers aus – zumindest nach Auffassung der generativen KI DALL-E2. (Bild: Dall-E 2)")
:quality(80)/p7i.vogel.de/wcms/a9/6d/a96d15ff02a35fc84a9b65702395aa6b/0110694349.jpeg "Größenvergleich der gängigen Basis-Images (komprimiert und unkomprimiert). (Bild: Canonical)")
:quality(80)/p7i.vogel.de/wcms/ce/c1/cec146c6f112e79b71c56d37ee27145e/0105884802.jpeg "Das AWS Step Functions Workflow Studio ist ein visueller Editor, der sich insbesondere für das Prototyping von Workflows eignet. (Bild: Amazon Web Services)")
Über 250 Millionen gefährdete Artefakte und Container-Images Aqua identifiziert anfällige Software-Supply-Chains
Anbieter zum Thema
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/107300/107370/65.png "pressebox_600x600_v2.png ()")
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/134700/134771/65.png "20200122-PNG-confluent_logo-denim.png ()")
:fill(fff,0)/p7i.vogel.de/companies/65/68/656863dbcf3d9/logo-devops-windhoff-group.png "logo-devops-windhoff-group (Windhoff Group)"){kind=logo}
Cloud-Native- Spezialist Aqua Security hat kürzlich tausende Registries und Artefakt-Repositories identifiziert, die aufgrund von Fehlkonfigurationen zugänglich waren. Viele dieser Daten enthielten hochsensible und proprietäre Informationen sowie sogenannte „Secrets“.
Registries und Artefakt-Verwaltungssysteme sind wesentliche Bestandteile der Software-Supply-Chain und enthalten oft Secrets wie Authentifizierungsdaten und andere sensible Informationen. Können Angreifer auf diese Daten zugreifen, können sie die gesamte Toolchain des Software-Entwicklungslebenszyklus kompromittieren und die darin gespeicherten Artefakte ausnutzen.
Die IT-Sicherheitsforscher des Aqua-Security-Teams Nautilus deckten falsche Konfigurationen auf, die weltweit tausende Unternehmen gefährdeten, darunter fünf Fortune-500-Unternehmen und zwei große IT-Sicherheitsanbieter. Im Zuge der Untersuchung zeigten sich verschiedene Anfälligkeiten und Sicherheitslücken:
- Sensible Schlüssel (einschließlich Secrets, Anmeldeinformationen oder Tokens) auf 1.400 verschiedenen Hosts.
- Private Endpunkt-Adressen von Datenbanksystemen (wie Redis, MongoDB, PostgreSQL oder MySQL) auf 156 Hosts.
- 57 Registries mit kritischen Fehlkonfigurationen, von denen 15 den Administratorzugriff mit dem Standardpasswort erlaubten.
- Mehr als 2.100 Artefakt-Registries mit Upload-Berechtigungen, die Angreifern ermöglichen könnten, diese Registries mit bösartigem Code zu infizieren.
Aqua empfiehlt Sicherheitsteams betroffener Unternehmen, sofort Maßnahmen zu ergreifen, um die Sicherheit ihrer Systeme zu gewährleisten. Dazu gehört die Überprüfung von Registries und Artefakt-Verwaltungssystemen auf Internetverbindungen, die Verwendung sicherer Passwörter, das Deaktivieren des anonymen Benutzerzugriffs und das regelmäßige Scannen öffentlicher Artefakte auf vertrauliche Informationen.
Laut der Nautilus-Studie verfügen jedoch nur wenige Unternehmen über ein Programm zur verantwortungsvollen Offenlegung von Schwachstellen. Solche Programme seien aber wichtig, um Sicherheitslücken strukturiert melden und beheben zu können. Unternehmen mit solchen Programmen konnten Sicherheitslücken in weniger als einer Woche beheben, während dies bei Unternehmen ohne derartige Programme schwieriger und zeitaufwändiger war.
Assaf Morag, leitender Bedrohungsforscher bei Aqua Nautilus, betont die Bedeutung von Programmen zur verantwortungsvollen Offenlegung und Investitionen in die Erkennung und Eindämmung von Bedrohungen in der Software-Supply-Chain. Katie Norton, Senior Research Analyst bei IDC, ergänzt, dass die Ergebnisse von Aqua Nautilus den Handlungsbedarf aufzeigen, um das Bewusstsein für Best Practices bei Entwicklern und Anwendungssicherheitsteams zu schärfen.
(ID:49421193)
:quality(80)/p7i.vogel.de/wcms/2f/f2/2ff2f83fb67cec49da8bf1ac7c0965b4/0113238335.jpeg "Aqua Security belegt: Angriffe auf Storage nehmen rasant zu. (Bild: bancha - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b1/e3/b1e3098b0b52ddd8001f939f8ad829ca/0113676942.jpeg "Mit einer SBOM kann die Branche dafür sorgen, dass Hacker keine bösartigen Artefakte in der Software-Supply-Chain platzieren. (Bild: frei lizenziert)")