Studie: Exponentieller Anstieg von Cyberattacken auf Open-Source-Projekte
Sonatype hat im siebten Jahr in Folge den "State of the Software Supply Chain" untersucht – von Sicherheitsrisiken bis hin zu gesetzlichen Neuerungen.
Seit 2015 veröffentlicht das auf DevSecOps spezialisierte Unternehmen Sonatype jährlich den "State of the Software Supply Chain Report". In der diesjährigen Ausgabe weist das Unternehmen einen starken Anstieg der Nutzung von Open-Source-Software nach, aber auch eine erhöhte Angriffsgefahr im Vergleich zum letzten Jahr.
SicherheitslĂĽcken und Angriffe
Sonatype nahm sich die vier größten Anbieter von Open-Source-Software genauer vor: das Maven Central Repository für Java, NuGet für .NET, npm für JavaScript und den Python Package Index (PyPI) für Python. Dabei zeigte sich ein starker Zuwachs von Angebot und Nachfrage nach Open-Source-Software: Im Vergleich zum Vorjahr stieg die Anzahl der Open-Source-Projekte in den vier Ökosystemen um 20 Prozent an, und die Downloads von Komponenten sogar um durchschnittlich 73 Prozent.
Dabei weist von den oberen 10 Prozent der beliebtesten Open-Source-Projekte fast ein Drittel (29 Prozent) mindestens eine bekannte Sicherheitslücke auf. In den übrigen 90 Prozent der Projekte trifft das nur auf 6,5 Prozent zu. Die Ursache dafür sieht Sonatype in der Fokussierung von Sicherheitsforschern auf die beliebtesten Projekte, potenzielle Lücken in weniger populären Softwarepaketen bleiben daher tendenziell unerkannt.
Zudem nehmen Angriffe auf Open-Source-Software laut der Studie exponentiell zu: Supply-Chain-Angriffe wie Malicious Code Injection und Dependency Confusion weisen einen Zuwachs von 650Â Prozent im Vergleich zum Vorjahr auf. Im Report aus dem Jahr 2020 lag dieser Wert noch bei 430Â Prozent.
Gesetzliche Regulierungen
Neben weiteren Aspekten wie Peer Practices betrachtet die Studie auch Gesetze zur Regulierung der Software Supply Chain in den USA, dem Vereinigten Königreich, Deutschland, der Europäischen Union sowie global. Beispielsweise kommt das in Deutschland seit Mai 2021 umgesetzte umstrittene IT-Sicherheitsgesetz 2.0 zur Sprache. Demnach unterliegen Hersteller von Softwarekomponenten Anforderungen zur Absicherung der Supply Chain, sofern bestimmte Bedingungen wie der Einsatz ihrer Komponenten in kritischen Infrastrukturen gegeben sind.
Weitere Informationen zur Studie finden sich im Sonatype-Blog sowie im vollständigen "2021 State of the Software Supply Chain Report".
(mai)