Security: Angriffe auf die Softwarelieferkette erkennen und abwehren

Inhaltsverzeichnis

Alle Softwareentwicklungsprojekte stützen sich in der einen oder anderen Form auf Komponenten von Drittanbietern. Das gilt seit jeher für Low-Level-Komponenten wie Betriebssysteme oder Compiler, in jüngerer Zeit kommen aber immer mehr Tools und Komponenten hinzu, vor allem auf der Anwendungsebene. Heutige Softwareprojekte weisen im Median je nach Ökosystem zwischen sechs und zehn direkte Abhängigkeiten auf. Berücksichtigt man auch die transitiven (indirekten) Abhängigkeiten, steigt die Zahl je nach Ökosystem mehr oder weniger stark an. GitHubs Octoverse Report ermittelte dann beispielsweise im Python-Ökosystem einen Median von 19, im JavaScript-Umfeld von 683 Abhängigkeiten.

Gemeint sind hier die in diesem Artikel so bezeichneten Anwendungsabhängigkeiten – Bibliotheken und Frameworks wie Express, Requests oder Log4J, die für den Test, zur Kompilierung oder während der Laufzeit einer Anwendung nötig sind. Direkte Abhängigkeiten sind dabei solche, die Anwendungsentwickler deklarieren und aus Paketrepositorys laden. Transitiv hingegen sind Abhängigkeiten, die von den direkt genutzten Abhängigkeiten benötigt werden. Diese wiederum haben weitere Abhängigkeiten und immer so weiter – man kann sich das Ganze als einen Abhängigkeitsbaum vorstellen, mit dem Entwicklungsprojekt als Wurzelknoten.

Mehr zu Supply-Chain-Security

•  Supply Chain Security: Standard in SBOMs
• SCA-Tools in der Übersicht
• Neue Herausforderungen in der Supply-Chain-Cybersecurity
• Softwareabhängigkeiten mit OWASP-Tool überwachen
• Supply-Chain-Security: Angriffe auf die Softwarelieferkette und Gegenmaßnahmen
• SBOMs: Wie Stücklisten für Software funktionieren
• Regeln für das Bauen sicherer Container

In Abgrenzung zu Anwendungsabhängigkeiten bezeichnet in diesem Artikel der Begriff Entwicklungstool im weiteren Sinne alle anderen Komponenten, die im Rahmen der Entwicklung zum Einsatz kommen. Das umfasst IDEs, Build-Server wie Jenkins und deren zahlreiche Plug-ins, aber auch all die anderen kleinen Helfer, die im Rahmen der Entwicklung und Qualitätssicherung zum Einsatz kommen: etwa zur Quellcodeformatierung, zur Generierung der Dokumentation oder zur Prüfung auf Sicherheitslücken. Manche dieser Tools werden dauerhaft installiert, andere mittels Containertechnologien eingebunden und wiederum andere während der Ausführung automatischer Builds geladen (etwa mittels curl|bash). All diese Komponenten sind Teil der Software Supply Chain. Während die Vorteile dieser Wiederverwendung offenkundig sind, geht dieser Artikel auf die Sicherheitsrisiken dieser quasi unumgänglichen Praxis ein, insbesondere auf Supply-Chain-Angriffe.

Immer mehr Wissen. Das digitale Abo für IT und Technik.

Elektroauto MG4 Trophy im Test: Bestseller mit Batterie-Upgrade

Der MG4 ist das meistverkaufte Elektroauto aus China. Mit der größeren Batterie wird es deutlich teurer, doch wie viel weiter kommt man nach dem Upgrade?

---

Papierloses Büro: Wie man mit paperless-ngx die Dokumentenverwaltung optimiert

Mit der Open-Source-Anwendung paperless-ngx auf einem Server, Raspi oder NAS sowie einem Einzugscanner gehört Dokumentenchaos der Vergangenheit an.

---

Im Test: Zehn USB-SSDs und -Sticks mit 1 oder 2 TByte Speicherplatz

Daten transportieren oder Backups erstellen klappt mit modernen Flash-Medien ratzfatz. Wem eine USB-SSD zu groß ist, der greift zum Stick.

---

Karrierewechsel: Warum sich ein Informatikstudium auch für Quereinsteiger lohnt

Drei Jahre lang Mathematik, Logik und Programmieren lernen. Das Informatikstudium ist ein klassischer Weg in die IT. Wir zeigen, wie es abläuft.

---

Was Windows 11 Version 24H2 Neues bringt – und was rausfliegt

Im Herbst 2024 steht unweigerlich wieder eine frische Windows-Version mit einem Schwung neuer Funktionen an. Was drinsteckt, ist bereits gut zu erkennen.

---

Fremdsprachen lernen: Wie man ChatGPT zum Sprechtrainer aufrüstet

Sie möchten mit einem KI-Sprechtrainer eine Fremdsprache üben, dafür aber kein Abo abschließen? ChatGPT macht es möglich – sogar in der kostenlosen Version.

• ChatGPT optimieren

Immer mehr Wissen. Das digitale Abo für IT und Technik.

Elektroauto MG4 Trophy im Test: Bestseller mit Batterie-Upgrade

Der MG4 ist das meistverkaufte Elektroauto aus China. Mit der größeren Batterie wird es deutlich teurer, doch wie viel weiter kommt man nach dem Upgrade?

---

Papierloses Büro: Wie man mit paperless-ngx die Dokumentenverwaltung optimiert

Mit der Open-Source-Anwendung paperless-ngx auf einem Server, Raspi oder NAS sowie einem Einzugscanner gehört Dokumentenchaos der Vergangenheit an.

---

Im Test: Zehn USB-SSDs und -Sticks mit 1 oder 2 TByte Speicherplatz

Daten transportieren oder Backups erstellen klappt mit modernen Flash-Medien ratzfatz. Wem eine USB-SSD zu groß ist, der greift zum Stick.

---

Karrierewechsel: Warum sich ein Informatikstudium auch für Quereinsteiger lohnt

Drei Jahre lang Mathematik, Logik und Programmieren lernen. Das Informatikstudium ist ein klassischer Weg in die IT. Wir zeigen, wie es abläuft.

---

Was Windows 11 Version 24H2 Neues bringt – und was rausfliegt

Im Herbst 2024 steht unweigerlich wieder eine frische Windows-Version mit einem Schwung neuer Funktionen an. Was drinsteckt, ist bereits gut zu erkennen.

---

Fremdsprachen lernen: Wie man ChatGPT zum Sprechtrainer aufrüstet

Sie möchten mit einem KI-Sprechtrainer eine Fremdsprache üben, dafür aber kein Abo abschließen? ChatGPT macht es möglich – sogar in der kostenlosen Version.

• ChatGPT optimieren