:quality(80)/p7i.vogel.de/wcms/5f/f4/5ff47683e4bc8de6cf2d484e627c58f2/0107845613.jpeg "Wir präsentieren die Gewinnerinnen und Gewinner der Dev-Insider Readers’ Choice Awards, (Bild: VIT)")
:quality(80)/p7i.vogel.de/wcms/55/d8/55d8de7a538dd09179a73c8038cf4147/0107796204.jpeg "Zum achten Mal verleihen die Insider-Portale die IT-Awards, nach zwei virtuellen Events wieder im Rahmen einer Abendgala. (Bild: Vogel IT-Medien)")
:quality(80)/images.vogel.de/vogelonline/bdb/1883400/1883452/original.jpg "Die Gewinner der diesjährigen IT-Awards stehen fest – und hier sind Ihre Dev-Insider-Preisträger: (Vogel IT-Medien)")
:quality(80)/images.vogel.de/vogelonline/bdb/1883900/1883949/original.jpg "Am 21. Oktober 2021 ab 13:00 Uhr erhalten die Gewinner der diesjährigen Leserwahl den Readers' Choice Dev-Insider Award 2021. (Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/7a/59/7a595755b165e6d0939b52bc4bb82e9d/0113646230.jpeg "Blockchain-Technologien schaffen Vertrauen, was auch beim programmatischer Werbung von Vorteil ist. (Bild: <a href=https://pixabay.com/de/users/kiquebg-5133331/>kiquebg</a>)")
:quality(80)/p7i.vogel.de/wcms/fc/5d/fc5d51c434c66a36ab98ec88e33f3f11/0113457541.jpeg "Das Blockchain Competence Center Mittweida veranstaltet die gesamte Blockchain Autumn School 2023 über Zoom. (Bild: BCCM)")
:quality(80)/p7i.vogel.de/wcms/35/5b/355b75f20e735b8a4e5e14052b58477d/0113325597.jpeg "Basierend auf USD-Coin sollen die Programmable Wallets von Circle einfach integrierbare Crypto-Geldbörsen ermöglichen. (Bild: Circle)")
:quality(80)/p7i.vogel.de/wcms/0a/96/0a96a5466d57862cf0bc9c8f96ec187e/0114288251.jpeg "In der EMEA-Region sind Software-Schwachstellen offenbar häufiger und kritischer als in anderen Regionen. (Bild: <a href=https://pixabay.com/users/geralt-9301/>Gerd Altmann</a>)")
:quality(80)/p7i.vogel.de/wcms/63/d2/63d2f4e43c55e2140ec3bd9b96d19d5c/0114247757.jpeg "Zumindest in der jetzigen Form wird künstliche Intelligenz keine Jobs vernichten, sondern vielmehr ergänzen. (Bild: <a href=https://pixabay.com/de/users/placidplace-25572496/>Placidplace</a>)")
:quality(80)/p7i.vogel.de/wcms/4a/2c/4a2c83570cf413a53acc88791127985b/0113689146.jpeg "UX- und UI-Design müssen sich auf immer neue Trends einstellen, es gibt allerdings auch einige festgeschriebene Grundregeln. (Bild: <a href=https://unsplash.com/@karlsolano>Karl Solano</a>)")
:quality(80)/p7i.vogel.de/wcms/c5/cf/c5cfc19667755322546e8e914f17890d/0114256966.jpeg "Mehr am Bahnhof denn in der Berufsschule: Der angehende Fachinformatiker für Systemintegration Jonas Lohrmann beklagt lange Wege zur Berufsschule. (Bild: Lohrmann)")
:quality(80)/p7i.vogel.de/wcms/5e/08/5e0825016fa505d43decf6f23fcd5047/0114270026.jpeg "Die Open Source Pentest-Tools Legion, sqlmap, Zed Attack Proxy, OpenSCAP, Karkinos und Scapy helfen Admins bei der Schwachstellensuche. (Bild: Nmedia - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/6d/7b/6d7bd893f3034b22e9515d03f4a2bcf8/0114243416.jpeg "Lens AppIQ richtet sich laut Mirantis insbesondere an IT-Fachkräfte, die täglich mit Kubernetes arbeiten müssen. (Bild: Mirantis)")
:quality(80)/p7i.vogel.de/wcms/dd/64/dd64a3e1d07ca90d00b83de559c2512d/0113887944.jpeg "„Edge-Computing ist kein bestimmter Ort oder Gerätetyp, sondern eher ein Kontinuum von Standorten, die vom zentralisierten Cloud-Computing entfernt sind“, so Autor Sebastian Scheele. Trotzdem eignen sich Cloud-Native-Technologien, insbesondere Kubernetes, um an der Edge Computing zu betreiben. (Bild: frei lizenziert: distelAPPArath)")
:quality(80)/p7i.vogel.de/wcms/80/87/80875380ee678528982c0dcc073f0684/0114128044.jpeg "Die WSO2 API Platform for Kubernetes (APK) erweitert Kubernetes um API Management der Enterprise-Klasse. (Bild: WSO2)")
:quality(80)/p7i.vogel.de/wcms/bf/88/bf88d3e9f2f3c4cd391fc2218d8eca4c/0114136576.jpeg "Generative KI sollte als unterstützendes Tool verantwortungsbewusst eingesetzt werden. (© ipopba - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b7/64/b76475ee2a6f7435d75f28607817522d/0114100897.jpeg "Der Erfolg des Apple App Store fußt auf der großen Anzahl hochqualitativer Apps – ein Merkmal, das Apple selbst kontrolliert. (Bild: <a href=https://unsplash.com/@maria_shalabaieva>Mariia Shalabaieva</a>)")
:quality(80)/p7i.vogel.de/wcms/14/92/149229c3cdb94b319e006f52423c09db/0114168289.jpeg "Eine Kombination aus Rust und Python – oder Python und Rust – kann die Vorteiler beider Programmiersprachen vereinen. (Bild: <a href=https://pixabay.com/users/artdemarta-6006022/>Marta Bellés</a>)")
:quality(80)/p7i.vogel.de/wcms/45/93/45930907cccf8cb2ca621cb6555cf717/0114183021.jpeg "SQL-Datenbanken lassen sich unproblematisch hin zu PostgreSQL migrieren, Unternehmen sollten diesen Schritt trotzdem gut vorbereiten. (Bild: Leonardo.ai)")
:quality(80)/p7i.vogel.de/wcms/58/19/5819c761ed85847bcd078190acf7ad4f/0114215872.jpeg "Die Beta von GitHub Copilot Chat ist fortan für alle User von Visual Studio und VS Code verfügbar. (Bild: GitHub)")
:quality(80)/p7i.vogel.de/wcms/e8/a2/e8a2ed56eaea2f9670ac8bfbefe10cc7/0113533673.jpeg "Copy-and-paste- oder Clipboard-Programming kann sich sehr negativ auf die Code-Qualität auswirken. (Bild: <a href?https://pixabay.com/users/chenspec-7784448/>chenspec</a>)")
:quality(80)/p7i.vogel.de/wcms/7e/5a/7e5aac8b7041780b5065919ce0cbabf3/0113499457.jpeg "Zeremonielles Kreuz des „John Frum Cargo Cult“, auf der Insel Tanna im heutigen Vanuatu. (Bild: JohnFrumCrossTanna1967.jpg / Tim Ross - eigene Arbeit / CC BY 3.0)")
:quality(80)/p7i.vogel.de/wcms/d8/90/d890b7a3d8daf81956377a29a87efdd5/0113481871.jpeg "Das Scaled Agile Framework soll großen Unternehmen dabei helfen, agile Methoden zu adaptieren. (Bild: <a href=https://pixabay.com/users/snottyboggins-6421955/>SnottyBoggins</a>)")
:quality(80)/p7i.vogel.de/wcms/ec/0c/ec0cdde8e59873a426bf939ed52c38f3/0113355036.jpeg "Selbstbedienung ist beim Developer Self-Service ausdrücklich erwünscht. (Bild: <a href=https://pixabay.com/users/manfredrichter-4055600/><u>Manfred Richter</u></a>)")
:quality(80)/p7i.vogel.de/wcms/c2/21/c2213857722c33ef3d02db0acf33abc0/0112236476.jpeg "So sehen Chiselled Ubuntu containers aus – zumindest nach Auffassung der generativen KI DALL-E2. (Bild: Dall-E 2)")
:quality(80)/p7i.vogel.de/wcms/a9/6d/a96d15ff02a35fc84a9b65702395aa6b/0110694349.jpeg "Größenvergleich der gängigen Basis-Images (komprimiert und unkomprimiert). (Bild: Canonical)")
:quality(80)/p7i.vogel.de/wcms/ce/c1/cec146c6f112e79b71c56d37ee27145e/0105884802.jpeg "Das AWS Step Functions Workflow Studio ist ein visueller Editor, der sich insbesondere für das Prototyping von Workflows eignet. (Bild: Amazon Web Services)")
Gegen Taktiken, Techniken und Prozesse von Angreifern Schutz vor gefährlichen Open-Source-Paketen
Anbieter zum Thema
Checkmarx gibt den Launch von Supply Chain Threat Intelligence bekannt. Die Lösung könne umfangreiche Threat-Informationen zu Hunderttausenden bösartigen Paketen, zur Reputation der beteiligten Entwickler und zu bösartigen Verhaltensmustern bereitstellen.
Aufsetzend auf den Forschungsergebnissen der Checkmarx Labs ermögliche die Supply Chain Threat Intelligence:
- die Identifizierung bösartiger Pakete anhand des Angriffstyps, etwa Dependency Confusion, Typosquatting, Chainjacking und mehr,
- die Analyse der Contributor-Reputation bei Identifizierung ungewöhnlicher Aktivitäten in Open-Source-Paketen,
- Informationen zum Verhalten gefährlicher Pakete, einschließlich statischer und dynamischer Analysen des Laufzeitverhaltens,
- einen Data Lake, der eine kontinuierliche Analyse von Paketen erlaubt – selbst dann, wenn sie von den Paketmanagern bereits gelöscht wurden, mit Scanning von über einer Mio. Paketen pro Monat.
„Im Jahr 2022 identifizierten die Forscher von Checkmarx einige der aktivsten Open-Source-Angreifer wie RED-LILI und Lofygang“, erklärt Checkmarx-CEO Emmanuel Benzaquen. „Dennoch steigt die Zahl bösartiger Open-Source-Pakete organisierter Gruppen nach wie vor rasant. Daher freut es uns, dass wir die Security-Verantwortlichen jetzt mit einem neuen, durchgehend aktualisierten Feed von Threat-Informationen dabei unterstützen können, die Motive und die Taktiken, Techniken und Vorgehensweisen der Angreifer zu verstehen.“
So funktioniert Supply Chain Threat Intelligence
Checkmarx Supply Chain Threat Intelligence wird als API (Application Programming Interface) bereitgestellt und lässt sich in unterschiedlichste Dashboards und Entwicklungsumgebungen integrieren. Die User bekommen von Checkmarx ein individuelles Token, geben den Paketnamen und die Version an und erhalten dann die Ergebnisse der Threat-Analyse für das entsprechende Paket.
Die API könne Entwicklern und Security-Verantwortlichen dabei helfen:
- schnell und einfach Bedrohungen in Open-Source-Paketen zu identifizieren,
- die Vorgehensweise der Angreifer besser zu verstehen,
- eine große Anzahl an Paketen mit einer einzigen, umfassenden Query zu analysieren,
- den Angreifern mit Echtzeit-Updates und Risiko-Alerts immer einen Schritt voraus zu sein,
- Security-Entscheidungen basierend auf wertvollen Einblicken und Risikokontexten zu treffen.
„Das Supply-Chain-Security-Team der Checkmarx Labs hat allein im Jahr 2022 150.878 verschiedene bösartige Pakete identifiziert“, erklärt Erez Yalon, VP of Security Research bei Checkmarx. „Wir beobachten immer wieder Angreifer, die auch dann noch bösartige Packages veröffentlichen, wenn sie längst gemeldet wurden: Sie erstellen einfach einen neuen Fake-Account, und nichts und niemand hindert sie daran. Angesichts ihrer Skrupellosigkeit und der rasant zunehmenden Bedrohung durch neue bösartige Pakete haben wir uns entschieden, unsere Threat Intelligence zu teilen, um das Open-Source-Ökosystem zu schützen.“
(ID:49053420)
:quality(80)/p7i.vogel.de/wcms/be/49/be49fe96b6419fd7893302e0e2bef018/0112124941.jpeg "Hartnäckige Angreifer, die im Open-Source-Ökosystem operieren und versuchen, Versionskontrollsysteme wie GitHub und Paketmanager wie PyPI und npm zu kompromittieren, sind eine ständige Bedrohung. (Bild: jariyawat - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/65/55/6555f3aaa1b449fb49aadc0286502936/0112828775.jpeg "Wenn die Sicherungen an der falschen Stelle in der Softwarekette angebracht sind, helfen sie nichts. Das Tool „JFrog Curtion“ soll automatisiert bösartige Open-Source-Pakete erkenen und Schwachstellen analysieren können. (Bild: frei lizenziert: TheOtherKev)")