:quality(80)/p7i.vogel.de/wcms/c8/6b/c86bfadc9400e3859e5a8173b99872db/0114956871.jpeg "Für das große Gewinnerbild standen dann alle Preisträgerinnen und Preisträger noch einmal gemeinsam mit Moderatorin Margit Lievertz und Dev-Insider-Chefredakteur Stephan Augsten auf der Bühne. (Bild: krassevideos.de / VIT)")
:quality(80)/p7i.vogel.de/wcms/82/e2/82e20061fab6f1fc0561f023c6bfd2cc/0114109627.jpeg "Dev-Insider verleiht heute die IT-Awards 2023 in sechs Kategorien. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/5f/f4/5ff47683e4bc8de6cf2d484e627c58f2/0107845613.jpeg "Wir präsentieren die Gewinnerinnen und Gewinner der Dev-Insider Readers’ Choice Awards, (Bild: VIT)")
:quality(80)/p7i.vogel.de/wcms/55/d8/55d8de7a538dd09179a73c8038cf4147/0107796204.jpeg "Zum achten Mal verleihen die Insider-Portale die IT-Awards, nach zwei virtuellen Events wieder im Rahmen einer Abendgala. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/7f/fa/7ffa1340ab62def05e1f90e0e829e170/0115309401.jpeg "Unternehmensweit sind eine engere Zusammenarbeit und eine gemeinsame Sichtbarkeit für alle Dev-, Sec- und Ops-Teams vonnöten. (Bild: Murrstock - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e8/10/e8103ad3c912d1b400312f5b58c2eddd/0114050691.jpeg "Der Autor: Andrej Nikonov ist KI-Experte und Geschäftsführer von Cloudflight München (Bild: Cloudflight)")
:quality(80)/p7i.vogel.de/wcms/d1/a4/d1a47ae3556763bfb51056eac6eac031/0115379618.jpeg "Gerade jüngere Generationen wünschne sich mehr Interaktion im Team, wollen aber gleichzeitig nicht unbedingt ins Büro kommen. (Bild: <a href=https://pixabay.com/users/geralt-9301/>Gerd Altmann</a>)")
:quality(80)/p7i.vogel.de/wcms/a8/4d/a84d6e9a2b83c4638bac6813943e87e0/0115489095.jpeg "Kontinuierliches Testing über den gesamten Software Development Lifecycle hinweh will Veracode mit den neuen Lösungen noch besser unterstützen. (© ArtemisDiana - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/03/78/0378db755cdc799a84e4d47a02c8b898/0115139555.jpeg "Der Chatbot samt ChatGPT-Integration. (Bild: Lang / Botpress)")
:quality(80)/p7i.vogel.de/wcms/31/d6/31d6c005205f8dde8b88c2130c4b64ce/0115047701.jpeg "Bei einer Variablen richtet sich die Wahl des optimalen Datentyps nach dem zu erwartenden Inhalt. (Bild: <a href=https://pixabay.com/users/kuszapro-369349/>Christopher Kuszajewski</a>)")
:quality(80)/p7i.vogel.de/wcms/c6/77/c6778a56d0b6c6c4f0cd541bf8f87286/0115365909.jpeg "Die Linux-Kernel-Technologie eBPF hilft, Transparenz in die Kommunikation von Kubernetes-Clustern zu bringen. (Bild: <a href=https://unsplash.com/photos/background-pattern-GSiEeoHcNTQ>Growtika</a>)")
:quality(80)/p7i.vogel.de/wcms/ee/71/ee7167e6c8ba4f0af6075f0aedb53d94/0115097582.jpeg "Zwar entfällt das Infrastruktur-Management beim Serverless Computing weitestgehend, doch das wirft wiederum auch Nachteile auf. (Bild: <a href=https://pixabay.com/users/akitada31-172067/>Roman</a>)")
:quality(80)/p7i.vogel.de/wcms/14/7c/147c7bac4c8372a856eb6d7938b0295f/0115093862.jpeg "Von Key-Value-Stores über In-Memory- bis hin zu Graph-Datenbanken: NoSQL kennzeichnet sich durch verschiedene Typen, die oft kombiniert werden. (Bild: <a href=https://pixabay.com/users/placidplace-25572496/>Placidplace</a>)")
:quality(80)/p7i.vogel.de/wcms/51/1b/511b16729b1ca7ba78518feb2dd8bbf5/0114533620.jpeg "Sqlectron erleichtert die Datenbankadministration in heterogenen Umgebungen. (Bild: ©gorodenkoff, Getty Images via Canva.com)")
:quality(80)/p7i.vogel.de/wcms/56/88/5688ec566e2eaf918ab513c5e250d0d2/0114682045.jpeg "Allie AI kann neue Datenbestände automatisch dokumentieren und geeignete Data Stewards vorschlagen. (Bild: Alation)")
:quality(80)/p7i.vogel.de/wcms/7e/53/7e53270c23873649b7e27c3fec4b36f8/0115274382.jpeg "Technische Schulden häufen sich beinahe zwangsläufig an, Ki kann diesen Prozess leider deutlich beschleunigen. (Bild: <a href=https://unsplash.com/de/@and_machines>and machines</a>)")
:quality(80)/p7i.vogel.de/wcms/a2/6d/a26d6b9b81ed85fae9f94b4893ab44d3/0115643756.jpeg "Der Cyber Resilience Act soll die Besonderheiten in der Entwicklung von Open-Source-Projekten berücksichtigen. (© Duncan Andison - adobe.stock.com)")
:quality(80)/p7i.vogel.de/wcms/88/94/88946f4dedd1bf482b02fd8885d8eae0/0115579192.jpeg "Vielen Unternehmen fehlt der Überblick, welche APIs es gibt und wohin genau welche Daten mit welcher Kritikalität über diese Schnittstellen fließen. (Bild: Murrstock - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e6/a1/e6a1fdcb119277fc720bd9410701c4cf/0115261467.jpeg "Der Low- und No-Code-Trend verändert die Art und Weise, wie Unternehmen Apps für ihre Bedürfnisse erstellen. (Bild: <a href=https://pixabay.com/users/dinesh_pal-26281818/>Dinesh_pal</a>)")
:quality(80)/p7i.vogel.de/wcms/01/d0/01d02743d019010886e4fe0d47222d72/0115628204.jpeg "Der Autor Fabian Tröltzsch auf der w3.vision X DMEXCO 2023. (© koelnmesse)")
:quality(80)/p7i.vogel.de/wcms/7a/59/7a595755b165e6d0939b52bc4bb82e9d/0113646230.jpeg "Blockchain-Technologien schaffen Vertrauen, was auch beim programmatischer Werbung von Vorteil ist. (Bild: <a href=https://pixabay.com/de/users/kiquebg-5133331/>kiquebg</a>)")
:quality(80)/p7i.vogel.de/wcms/fc/5d/fc5d51c434c66a36ab98ec88e33f3f11/0113457541.jpeg "Das Blockchain Competence Center Mittweida veranstaltet die gesamte Blockchain Autumn School 2023 über Zoom. (Bild: BCCM)")
:quality(80)/p7i.vogel.de/wcms/96/41/96410d07dd40694b8b473af9054e730c/0115019701.jpeg "Vor dem Ausführen wird Code in eine maschinell lesbare Form gebracht – und hierfür sind feste Regeln sinnvoll. (Bild: <a href=https://pixabay.com/users/johnsonmartin-724525/>Johnson Martin</a>)")
:quality(80)/p7i.vogel.de/wcms/2f/8e/2f8ede1d9d1dc4ae64f9d1fdd8cffb8f/0115091212.jpeg "In seinem Selbstverständnis als DevSecOps-Anbieter bietet GitLab über die reine Code-Verwaltung mit Git hinaus viele weitere Funktionen. (Bild: GitLab)")
:quality(80)/p7i.vogel.de/wcms/c2/21/c2213857722c33ef3d02db0acf33abc0/0112236476.jpeg "So sehen Chiselled Ubuntu containers aus – zumindest nach Auffassung der generativen KI DALL-E2. (Bild: Dall-E 2)")
:quality(80)/p7i.vogel.de/wcms/a9/6d/a96d15ff02a35fc84a9b65702395aa6b/0110694349.jpeg "Größenvergleich der gängigen Basis-Images (komprimiert und unkomprimiert). (Bild: Canonical)")
:quality(80)/p7i.vogel.de/wcms/ce/c1/cec146c6f112e79b71c56d37ee27145e/0105884802.jpeg "Das AWS Step Functions Workflow Studio ist ein visueller Editor, der sich insbesondere für das Prototyping von Workflows eignet. (Bild: Amazon Web Services)")
Risiken bei der Nutzung quelloffener Komponenten Die Open-Source-Lieferkette als Einfallstor
Anbieter zum Thema
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/107300/107370/65.png "pressebox_600x600_v2.png ()")
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/134700/134771/65.png "20200122-PNG-confluent_logo-denim.png ()")
:fill(fff,0)/p7i.vogel.de/companies/65/68/656863dbcf3d9/logo-devops-windhoff-group.png "logo-devops-windhoff-group (Windhoff Group)"){kind=logo}
Im Zuge der digitalen Transformation vertrauen Unternehmen immer stärker auf Cloud-native Software, die Open-Source-Komponenten nutzt. Böswillige Akteure wissen das und sehen darin eine große Chance.
Im vergangenen Jahr ist die Zahl der Angriffe auf Open-Source-Komponenten zur Infizierung von Software-Lieferketten laut einer Studie des Anbieters Sonatype im Vergleich zum Vorjahr um 430 Prozent gestiegen. Cyber-Kriminelle bewegen sich „stromaufwärts“, um die Quelle der Software anzugreifen. Sie biegen dann links ab, um die Entwickler ins Visier zu nehmen. Dadurch erhöht sich die Anzahl der Ziele, die sie infizieren können, ohne dass der Arbeitsaufwand steigt.
Die Infiltrierung von Open-Source-Bibliotheken kann auch ein verdeckter Ansatz sein als ein direkter Angriff auf Organisationen, denn wenn sie bereits Teil einer vertrauenswürdigen Lieferkette sind, werden ihre bösartigen Aktivitäten entdeckt. Ein direkter Angriff auf ein Unternehmen ist schwieriger und führt in der Regel zu langsameren und weniger guten Ergebnissen.
Der Bericht „2020 Open Source Security and Risk Analysis“ von Synopsys hat gezeigt, wie effektiv diese Taktik sein kann. Der Bericht stellt fest, dass kommerzieller Code heute hauptsächlich aus Open-Source-Software besteht. Wenn böswillige Akteure erfolgreich sind, können sie mit diesen Angriffen sowohl Maschinenidentitäten als auch sensible Daten stehlen.
Obwohl die Folgen dieser Angriffe verheerend sein können, gibt es immer noch keine Sicherheitsstandards für Open-Source-Software. Jedes Stück Software in einer Open-Source-Bibliothek sollte mit einem Codesigning-Zertifikat (auch bekannt als Codesigning-Maschinenidentität) authentifiziert werden. Heutzutage werden Codesigning-Maschinen-Identitäten jedoch nicht gut verwaltet, so dass es nicht möglich ist, jede einzelne in der Geschwindigkeit der Entwickler zu verifizieren.
Letztendlich liegt die Chance, die Softwareentwicklung erfolgreich zu schützen, in den Händen der Entwickler. Die Zukunft liegt darin, den Ingenieuren einen einfachen und schnellen Schutz innerhalb der Software-Pipelines zu ermöglichen und die Sicherheit der entwickelten Produkte zu gewährleisten.
Verdeckte Operationen
Angriffe auf die Software-Lieferkette sind sehr schwer zu erkennen. Es gibt schlicht keinen Grund für die Annahme, dass eine zuvor vertrauenswürdige Lieferkette verändert wurde oder möglicherweise nicht rechtmäßig ist.
Unternehmen sind heute auf Schnelligkeit bedacht. Entwickler beschleunigen deshalb ihre Prozesse, indem sie Funktionen nutzen, die in Softwarebibliotheken oder -modulen implementiert sind, die zuvor von jemand anderem geschrieben wurden (und die bereits nachweislich korrekt funktionieren).
Diese Projekte beruhen auf Beiträgen von Freiwilligen und enthalten in der Regel Elemente aus anderen Open-Source-Projekten. Dies kann dazu führen, dass der Code versehentlich missbraucht wird, da bekannte Schwachstellen versehentlich oder absichtlich durch das Hinzufügen von bösartigem Code eingebaut werden können.
Für ein Unternehmen ist es einfach unmöglich, jeden einzelnen Code zu überprüfen, um eine Schwachstelle oder eine Bedrohung zu entdecken. Indem sie diese Repositories ins Visier nehmen, vergrößern die Angreifer die Angriffsfläche erheblich. Da es für die Open-Source-Paket-Repositories kein Überprüfungs- und Genehmigungsverfahren gibt, entwickeln sich diese langsam zu kostenlosen Malware-Hosting-Services.
Eine der häufigsten Angriffstechniken ist das Typosquatting, bei dem Namen nachgeahmt werden, die häufig verwendeten Paketen ähneln. Die Idee der Angreifer ist hierbei, dass Entwickler und Administratoren versehentlich den beabsichtigten Namen falsch eingeben und das bösartige Paket installieren.
Beispiele dafür sind python-dateutil und jeIlyfish (mit einem großen I statt einem L). Diese Pakete verhalten sich dann genauso wie die Originale, mit dem Unterschied, dass sie auch versuchen, Maschinenidentitäten und andere sensible Informationen vom Entwickler oder Benutzer ihrer Software zu stehlen.
In einem weiteren Beispiel für eine aktuelle Bedrohung entdeckte Aqua Security eine Infrastruktur von 23 Container-Images, die in Docker Hub gespeichert wurden und potenziell unerwünschte Anwendungen (PUA) enthielten. Sie waren entweder in den Image-Schichten versteckt oder wurden während der Laufzeit in die instanziierten Container heruntergeladen.
Entwickler integrieren häufig ihre CI/CD-Pipeline mit Docker Hub, um automatische Image-Builds auszulösen und neue Images als Teil des CI/CD-Workflows direkt im Repository zu veröffentlichen. Wenn es Angreifern gelingt, ein Image zu kompromittieren, könnten sie effektiv eine große Benutzerbasis gefährden.
Wie lassen sich Angriffe verhindern?
Entwickler sind sich oft des Risikos, das diese Repositories darstellen, nicht bewusst. Mit mehr Sicherheitsregeln und einer Standardisierung bei der Verwendung von Codesigning in Open Source könnten diese Paketprobleme jedoch verhindert werden. Es ist jetzt von entscheidender Bedeutung, dass die Entwickler einen Überprüfungsprozess in ihren Arbeitsablauf einbauen, zusammen mit einer Überprüfung auf bekannte Schwachstellen.
Allerdings darf nicht die gesamte Last auf die ohnehin schon überforderten Softwareentwickler abgewälzt werden, da es für sie weder zumutbar noch realistisch ist, jeden einzelnen Code zu überprüfen. Die Verwalter von Open-Source-Repositories müssen einen Überprüfungs- und Genehmigungsprozess für jeden eingereichten Code einführen, da sie sonst Gefahr laufen, zu einem zuverlässigen und skalierbaren Malware-Verbreitungskanal zu werden.
In Zusammenarbeit mit Ingenieuren von Cloudbees, Veracode und Sophos stellt Venafi ein Open-Source-Konzept für die Sicherung von Software zur Verfügung. Das Konzept wurde von Entwicklern für Entwickler entwickelt, um einen unmittelbaren Einfluss auf die Sicherheit zu haben. Nutzung, Feedback und Beiträge sind hier erwünscht.
Fazit: Codesignierung muss standardisiert werden
Wenn die Sicherheitsverfahren rund um das Codesigning nicht schnell in Angriff genommen werden, werden Angriffe, die Open-Source-Softwaretechniken nutzen, nur noch häufiger und erfolgreicher werden. Unternehmen müssen sicherstellen, dass die Entwickler mit der Automatisierung und den klaren Prozessen ausgestattet sind, die erforderlich sind, um Sicherheits- und Schwachstellenprüfungen in neue Software einzubauen; auch die Repositories müssen die Last übernehmen und neu eingereichten Code überprüfen.
* Kevin Bocek ist VP Security Strategy & Threat Intelligence bei Venafi.
(ID:47641689)
:quality(80)/p7i.vogel.de/wcms/a0/18/a0184a1ae317b7756b0efc70cf3a3c25/0108782048.jpeg "Cyber-Kriminelle machen sich vermehrt Anfälligkeiten in Software-Lieferketten zunutze, um bösartige Software-Pakete zu verteilen. (Bild: <a href=https://pixabay.com/users/tumisu-148124/>Tumisu</a>)")
:quality(80)/p7i.vogel.de/wcms/65/55/6555f3aaa1b449fb49aadc0286502936/0112828775.jpeg "Wenn die Sicherungen an der falschen Stelle in der Softwarekette angebracht sind, helfen sie nichts. Das Tool „JFrog Curtion“ soll automatisiert bösartige Open-Source-Pakete erkenen und Schwachstellen analysieren können. (Bild: frei lizenziert: TheOtherKev)")