Zielscheibe Open Source: Angriffe acht mal häufiger als vor drei Jahren
Open-Source-Repositories werden immer häufiger zum Angriffsziel Krimineller. Allein im letzten Jahr hat Sonatype über 55.000 infizierte Pakete identifiziert.
(Bild: vectorfusionart/Shutterstock.com)
In den vergangenen Jahren haben Angriffe aus Software-Supply-Chains stark zugenommen: Das zeigen die vorläufig veröffentlichten Ergebnisse des "State of the Software Supply Chain Report" des Security-Software-Anbieters Sonatype. Demnach seien Angriffe auf Upstream-Repositories von Open-Source-Projekten in den vergangenen drei Jahren um 700 Prozent gestiegen.
Angreifer würden zunehmend die Schwachstellen im Upstream von Open-Source-Ökosystemen ausnutzen, um in die Downstream angesiedelten Projekte von Firmen Malware einzuschleusen. Laut Sonatype hat die dediziert auf Open-Source-Lieferketten ausgerichtete Firewall des Anbieters mehr als 55.000 neu veröffentlichte Pakete im letzten Jahr als bösartig identifiziert. Zur Einordnung: Laut Hersteller prüft die Firewall per KI pro Monat rund 600.000 Paketveröffentlichungen.
Den finalen Report plant Sonatype im Oktober zu publizieren, wie aus der Pressemitteilung des Anbieters hervorgeht. Angriffe auf Open-Source-Komponenten machten in den vergangenen Jahren immer wieder Schlagzeilen, am zuletzt prominentesten wohl bei Log4Shell. Das Problem liegt auch darin begründet, dass Projekte häufig auf sehr viele vorgefertigte Software-Pakete zurückgreifen und es daher schwierig ist, die Übersicht über die eingesetzten Pakete zu behalten. Software Bills of Materials sollen hier für Abhilfe sorgen – inklusive freier Open-Source-Tools.
(jvo)
