In den vergangenen Monaten hat die Sicherheit von Software-Lieferketten die Welt in Atem gehalten. Es gab geh\u00e4uft Angriffe, bei denen Kriminelle in das Netzwerk eines bestimmten Softwareanbieters eindrangen und beispielsweise Open-Source-L\u00f6sungen oder sogar Update-Tools kompromittierten. Insbesondere gro\u00dfe Unternehmen mit kritischen Infrastrukturen haben in einem solchen Fall das Nachsehen: Wenn Nutzer ihre Systeme mit Schad-Software versehentlich installieren oder aktualisieren, werden sie nicht nur Opfer, sondern sogar Verbreiter einer Bedrohung.<\/p>\n\n
Laut den Daten des achten j\u00e4hrlichen State of the Software Supply Chain Report von Sonatype wurde in den letzten drei Jahren ein durchschnittlicher Anstieg der Angriffe auf Open-Source-Software-Repositories um 700 % verzeichnet. Der Studie zufolge liefern diese Repositories Softwarekomponenten, die mit Malware infiziert sind. Das Problem dabei: Anwendungen, die auf den Repositories abgelegt sind, verteilen und \u00fcbernehmen die Schadsoftware. Oft sind das Open-Source-L\u00f6sungen, denen Unternehmen und Verbraucher vertrauen.<\/p>\n\n
\u201eFast jedes moderne Unternehmen ist auf Open Source angewiesen. Es gibt keine Anzeichen daf\u00fcr, dass die Nutzung von Open-Source-Repositories als Einfallstor f\u00fcr Cyberangriffe nachl\u00e4sst. Deshalb ist die fr\u00fchzeitige Erkennung bekannter und unbekannter Schwachstellen wichtiger denn je. Das Ausschlie\u00dfen b\u00f6sartiger Komponenten ist entscheidend f\u00fcr die Risikopr\u00e4vention und sollte Teil jeder Diskussion \u00fcber den Schutz von Software-Lieferketten sein\u201c, sagt Brian Fox, Mitbegr\u00fcnder und technischer Direktor bei Sonatype.<\/p>\n\n
In diesem Zusammenhang hat Google ein neues Open-Source-Projekt namens Graph for Understanding Artifact Composition (GUAC) angek\u00fcndigt. Das Projekt, das sich noch in der Anfangsphase befindet, zielt darauf ab, das Verst\u00e4ndnis der Industrie f\u00fcr Software-Lieferketten zu ver\u00e4ndern: Es generiert Metadaten zu Konstruktion, Sicherheit und Abh\u00e4ngigkeiten f\u00fcr verschiedene Softwaretypen und macht diese Informationen frei zug\u00e4nglich.<\/p>\n\n
Laut Google sind Daten wie die von SBOM-L\u00f6sungen (Software Bills of Materials), signierte Bescheinigungen \u00fcber den Entwicklungsweg von Software (z. B. SLSA, Google Cloud Build). Schwachstellendatenbanken sind derzeit verf\u00fcgbar und hilfreich. Allerdings lassen sie sich aktuell nur schwer zu einem umfassenden \u00dcberblick kombinieren.<\/p>\n\n
Um dieses Problem zu l\u00f6sen, hat Google ein kostenloses Tool entwickelt, das verschiedene Quellen f\u00fcr Softwaresicherheits-Metadaten kombiniert. Ziel ist es, eine umfassende grafische Datenbank zu erstellen, die die Identit\u00e4ten von Organisationen in diesem Bereich normalisiert und die Beziehungen zwischen ihnen abbildet. Durch die Abfrage dieses Graphen k\u00f6nnen somit organisatorische Ergebnisse auf hohem Niveau f\u00fcr die Verwendung in Audits, Politik, Risikomanagement und sogar als Unterst\u00fctzung f\u00fcr Entwickler generiert werden.<\/p>\n\n
Konzeptionell gesehen besetzt das GUAC-Tool die \u201eAggregations- und Synthese\u201c-Schicht des Logikmodells f\u00fcr die Transparenz der Software-Lieferkette. Die vier Hauptfunktionen des GUAC-Tools sind:<\/p>\n\n
<\/p>\n\n
<\/p>\n\n
<\/p>\n\n
Kurz gesagt: GUAC aggregiert und synthetisiert Software-Sicherheits-Metadaten in gro\u00dfem Umfang und macht sie zug\u00e4nglich. Mit diesen Informationen wird es m\u00f6glich sein, drei Kategorien von allgemeinen Fragen zur Sicherheit der Software-Lieferkette zu beantworten:<\/p>\n\n
<\/p>\n\n
<\/p>\n\n
<\/p>\n","protected":false},"excerpt":{"rendered":"
In den vergangenen Monaten hat die Sicherheit von Software-Lieferketten die Welt in Atem gehalten. Es gab geh\u00e4uft Angriffe, bei denen Kriminelle in das Netzwerk eines bestimmten Softwareanbieters eindrangen und beispielsweise Open-Source-L\u00f6sungen oder sogar Update-Tools kompromittierten. Insbesondere gro\u00dfe Unternehmen mit kritischen Infrastrukturen haben in einem solchen Fall das Nachsehen: Wenn Nutzer ihre Systeme mit Schad-Software versehentlich…<\/p>\n","protected":false},"featured_media":6813,"comment_status":"closed","ping_status":"closed","template":"","format":[],"category":[47],"tags":[],"company":[],"topic":[],"class_list":["post-6824","articles","type-articles","status-publish","has-post-thumbnail","hentry","category-cybersecurity"],"acf":[],"_links":{"self":[{"href":"https:\/\/network-king.net\/de\/wp-json\/wp\/v2\/articles\/6824","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/network-king.net\/de\/wp-json\/wp\/v2\/articles"}],"about":[{"href":"https:\/\/network-king.net\/de\/wp-json\/wp\/v2\/types\/articles"}],"replies":[{"embeddable":true,"href":"https:\/\/network-king.net\/de\/wp-json\/wp\/v2\/comments?post=6824"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/network-king.net\/de\/wp-json\/wp\/v2\/media\/6813"}],"wp:attachment":[{"href":"https:\/\/network-king.net\/de\/wp-json\/wp\/v2\/media?parent=6824"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/network-king.net\/de\/wp-json\/wp\/v2\/category?post=6824"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/network-king.net\/de\/wp-json\/wp\/v2\/tags?post=6824"},{"taxonomy":"format","embeddable":true,"href":"https:\/\/network-king.net\/de\/wp-json\/wp\/v2\/format?post=6824"},{"taxonomy":"company","embeddable":true,"href":"https:\/\/network-king.net\/de\/wp-json\/wp\/v2\/company?post=6824"},{"taxonomy":"topic","embeddable":true,"href":"https:\/\/network-king.net\/de\/wp-json\/wp\/v2\/topic?post=6824"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}