Die Software-Lieferkette ist zu einem zentralen Anliegen für Unternehmen geworden, die in einer zunehmend komplexen digitalen Landschaft agieren. Ein aktueller Bericht von JFrog hebt die steigenden Herausforderungen hervor, denen Organisationen bei der Sicherung ihrer Software-Ökosysteme gegenüberstehen.
Der Bericht „Software Supply Chain State of the Union 2024“, der letzte Woche veröffentlicht wurde, zeigt, dass die heutigen Software-Lieferketten vielfältig und global sind. Rund 53 % der Organisationen nutzen zwischen vier und neun Programmiersprachen, wobei beeindruckende 31 % sogar über zehn Sprachen verwenden. Diese Komplexität hat zu einem Anstieg an Open-Source-Paketen und Bibliotheken für die Anwendungsentwicklung geführt. Laut dem Bericht waren „Docker und npm die häufigsten Paketarten mit den meisten Beiträgen, während auch die Beiträge zu PyPI wuchsen, wahrscheinlich aufgrund von Anwendungsfällen in der KI/ML.“
Jedoch birgt dieser Reichtum an Ressourcen potenzielle Risiken für Unternehmen. Im Jahr 2023 berichteten Sicherheitsforscher von über 26.000 neuen Common Vulnerabilities and Exposures (CVEs), was den Trend zu steigenden Sicherheitsanfälligkeiten fortsetzt. Der Bericht stellt fest, dass in diesem Jahr die häufigsten Sicherheitsanfälligkeiten Cross-Site Scripting, SQL Injection und Out-of-Bounds Write waren, während Cross-Site Request Forgery zunehmend verbreitet ist.
Irreführende CVSS-Werte verschleiern tatsächliche Risiken
Shachar Menashe, Senior Director der JFrog Security Research, wies auf die irreführende Natur der Common Vulnerability Scoring System (CVSS)-Werte hinsichtlich der tatsächlichen Ausnutzbarkeit hin. „CVSS-Werte berücksichtigen keine kontextabhängigen Angriffspunkte. Das bedeutet, dass eine standardmäßig ausnutzbare Anfälligkeit denselben Wert erhält wie eine Anfälligkeit, die nur unter seltenen Bedingungen ausnutzbar ist“, erklärte Menashe. Der Bericht zeigt, dass erstaunliche 74 % der hoch- und kritisch eingestuften CVEs in den 100 meistgenutzten DockerHub-Images nicht ausnutzbar sind, was die Notwendigkeit einer tiefergehenden Risikoabschätzung im spezifischen Kontext und in der Konfiguration einer Organisation unterstreicht.
Verborgene Risiken in Software-Lieferketten
Der Bericht identifiziert menschliches Versagen und entblößte Geheimnisse als signifikante Schwachstellen innerhalb der Software-Lieferketten. Menashe betonte die Vorteile von Scans auf Binärebene: „Das Scannen und Validieren von dem, was in der Produktion läuft, kann Schwachstellen aufdecken, die erst sichtbar werden, wenn der Code kompiliert ist.“ Probleme wie geleakte Geheimnisse entgehen oft der Erkennung im Quellcode, treten jedoch im finalen Bild aufgrund der CI/CD-Pipeline zutage.
Zerstreute Sicherheitsansätze rauben Ressourcen
Trotz wachsender Sensibilisierung stehen Organisationen oft vor fragmentierten Sicherheitsprotokollen, die Zeit und Ressourcen verschwenden. Der Bericht zeigt, dass 60 % der Fachleute vier oder mehr Tage pro Monat mit der Behebung von Anfälligkeiten in Anwendungen verbringen.
Menashe empfiehlt, Anfälligkeiten durch Investitionen in Sicherheitslösungen, die Scannergebnisse kontextualisieren, zu priorisieren. „Das bloße Markieren von CVEs reicht nicht aus. Kontextuales Scannen, ob statisch oder dynamisch, ist unerlässlich. Das Ignorieren des Kontexts führt zu etwa 75 % falsch positiven Ergebnissen.“
Der Bericht behandelt auch die Herausforderungen, die durch eine überwältigende Anzahl von Sicherheitstools entstehen. Menashe wies darauf hin, dass ein Übermaß an punktuellen Lösungen Deckungslücken schaffen und zu Alarmmüdigkeit führen kann, was die Entwicklungsabläufe behindert.
KI und maschinelles Lernen bringen neue Risiken mit sich
Der Aufstieg von künstlicher Intelligenz (KI) und maschinellem Lernen (ML) in der Softwareentwicklung bringt eigene Risiken mit sich. Während 94 % der Organisationen die Sicherheit von Open-Source-ML-Modellen überprüfen, verzichten fast 20 % darauf, KI/ML für die Codeerstellung zu nutzen, da sie Sicherheitsbedenken haben.
Menashe prognostiziert, dass die Nutzung von KI für das Programmieren zunehmen wird, warnt jedoch vor den damit verbundenen Sicherheitsrisiken. „Während GenAI die Produktivität der Entwickler erheblich steigern kann, ist es wichtig, dass Entwickler erkennen, dass solche Praktiken die Sicherheit und Compliance gefährden können, da GenAI oft keinen sicheren Code produziert“, warnte er.
Er hebt außerdem hervor, dass CISOs auf die Gefahr, dass Angreifer die Neigung von KI ausnutzen könnten, nicht existierende Bibliotheken zu erschaffen, um bösartige Pakete zu erstellen, die Entwickler möglicherweise unabsichtlich verwenden, aufmerksam sein sollten.
Wichtige Empfehlungen zur Sicherung von Software-Lieferketten
Während Organisationen die sich entwickelnde Landschaft der Software-Lieferketten navigieren, dient der JFrog-Bericht als eindringliche Erinnerung daran, Sicherheit zu priorisieren und einen umfassenden Risikomanagementansatz zu verfolgen.
Menashe bietet IT-Leitern folgende zentrale Empfehlungen:
1. Beschränken Sie direkte Downloads von Open-Source-Software (OSS)-Paketen aus dem Internet, indem Sie eine Artefaktverwaltungs-Lösung verwenden, um Artefakte zu überprüfen und abzusichern, bevor sie die Entwicklerumgebung erreichen.
2. Verwenden Sie ein einheitliches System zur Verwaltung aller Eingaben und Ausgaben, die an Software-Releases beteiligt sind, und integrieren Sie die End-to-End-Anwendungssicherheit, um eine konsistente Anwendung der Richtlinien über alle Teams hinweg sicherzustellen.
3. Implementieren Sie Maßnahmen gegen Manipulation wie Code-Signierung, um die Integrität von Releases zu gewährleisten und sicherzustellen, dass nur die beabsichtigten, sicheren Komponenten verwendet werden, während die Software reift.
Durch die Annahme von kontextuellem Scannen, die Konsolidierung von Sicherheitsanstrengungen und die proaktive Auseinandersetzung mit Risiken im Zusammenhang mit KI-generiertem Code können Unternehmen ihre Software-Lieferketten stärken und sich gegen verborgene Bedrohungen schützen.
Der JFrog-Bericht hebt die Dringlichkeit einer wachsamen, umfassenden Herangehensweise an die Sicherheit von Software-Lieferketten in Anbetracht einer sich zunehmend ausdehnenden Angriffsfläche hervor.
Rangliste
