Schwachstellen in der Supply-Chain verdoppeln sich jedes Jahr

Der Report "The State of Software Supply Chain" fasst Trends und Risiken der Software-Lieferkette zusammen. Schwachstellen bleiben ĂĽber Jahre hinweg unbehoben.

In Pocket speichern vorlesen Druckansicht 17 Kommentare lesen
LKWs im Konvoi

(Bild: erstellt mit KI (Dall-E) von iX)

Lesezeit: 3 Min.
Von
  • Robert Lippert

Supply-Chain-Angriffe, regulatorische Herausforderungen und neue technologische Entwicklungen – im neuen Report "The State of Software Supply Chain" hat Sonatype, Anbieter von Anwendungen für das Supply-Chain-Management, über sieben Millionen Open-Source-Projekte analysiert und Trends sowie Herausforderungen herausgearbeitet.

Mit inzwischen über 6,6 Billionen Downloads an Open-Source-Komponenten pro Jahr und dem Umstand, dass quelloffene Pakete inzwischen bis zu 90 Prozent moderner Softwareanwendungen ausmachen, sind Entwicklerinnen und Entwickler mit neuen Herausforderungen konfrontiert. Besonders rund um JavaScript (npm-Pakete) und Python (PyPi-Bibliotheken) führt die steigende Zahl an Abfragen und Abhängigkeiten zu einem über die letzten Jahre gestiegenem Risiko von Malware und Supply-Chain-Angriffen, also das Einschleusen von bösartigem Code. Letztere können Code-Repositorys, Build-Systeme und Distributionskanäle betreffen.

Tatsächlich identifiziert der Report allein für das vergangene Jahr über 512,000 verdächtige Pakete im OSS-Ökosystem, was über die letzten Jahre betrachtet einem Anstieg von rund 156 Prozent von Jahr zu Jahr entspricht.

Bis zu 4,5 Billionen npm-Pakete pro Jahr verdeutlichen die Verbreitung quelloffener Komponenten in der Software Supply Chain.

(Bild: 10th Annual State of the Software Supply Chain, Sonatype, 2024)

Der Report beobachtet dabei eine gewisse Trägheit, die Unternehmen davon abhält, Schwachstellen zu beheben. Das führe zu einem dauerhaften Risiko wie rund um die Log4Shell-Schwachstelle, wo selbst drei Jahre nach ihrem Bekanntwerden noch immer unsichere Versionen der Log4j-Bibliothek im Umlauf sind.

Die Herausforderungen an die Softwareentwicklung sind vielfältig. 80 Prozent der Anwendungsabhängigkeiten bleiben länger als ein Jahr ungepatcht, obwohl für 95 Prozent dieser anfälligen Versionen sichere Alternativen verfügbar sind. Die Schuld ist dabei nicht allein bei den Softwareentwicklern zu finden. So können neue Versionen auch mit restriktiveren Lizenzbedingungen einhergehen, die aus Compliance-Gründen stets neu zu bewerten sind. Je nach Qualität und Klarheit der Angaben kann das einen erheblichen Aufwand bedeuten.

Unternehmen müssen auch die Lizenzen im Projekt berücksichtigen. Klare Angaben können ein Review erleichtern.

(Bild: 10th Annual State of the Software Supply Chain, Sonatype, 2024)

Dazu kommen versteckte Risiken – oft müssten Schwachstellen, die im CVSS-Bewertungssystem (Common Vulnerability Scoring System) maximal als mittelschwer eingestuft wurden, nach manueller Bewertung nachträglich als hoch oder kritisch eingestuft werden. So können Unternehmen schnell einem falschen Gefühl von Sicherheit erliegen.

Um die wachsenden Risiken der Software-Lieferketten zu bewältigen, schlägt Sonatype nach seiner Analyse verschiedene Sicherheitskonzepte vor, insbesondere proaktive Maßnahmen zur Verwaltung von Abhängigkeiten.

Dazu gehöre die Integration von Tools wie Software Composition Analysis (SCA) in die Entwicklungsprozesse und CI/CD-Pipelines oder auch eine Software Bills of Materials (SBOM). Projekte, die so eine SBOM für ihre OSS-Dependencies nutzten, konnten ihre Reaktionszeit auf Sicherheitslücken um 264 Tage verkürzen, so der Report. Dabei greift Sonatype als ein Anbieter solcher Werkzeuge auch auf eigene Daten zurück.

Was hier nur Empfehlungen sind, wird für einige Branchen aber auch obligatorisch, beispielsweise wenn der Digital Operational Resilience Act (DORA) ab 2025 alle Finanzunternehmen zu erheblichen Anstrengungen verpflichtet, ihre Resilienz gegenüber Cyberangriffen zu erhöhen.

Der ĂĽber 60-seitige Report The State of Software Supply Chain steht kostenfrei online zur Einsicht (und gegen Registrierung auch zum Download) zur VerfĂĽgung und berĂĽcksichtigt Daten von ĂĽber sieben Millionen beobachteten Open-Source-Projekten.

(who)