

Angriffe auf Software-Supply-Chains nehmen weiter zu
15. September 2021, 14:44Open-Source-Softwarepakete werden immer beliebter. Gleichzeitig versuchen Hacker immer intensiver, sie als Vektor zum Einschleusen von Malware zu missbrauchen.
Sonatype hat einen neuen Software Supply Chain Report veröffentlicht. Schon in der Ausgabe 2020 berichtete der Anbieter von Automatisierungslösungen für Software-Supply-Chains, dass die Zahl der Angriffe von Hackern auf diese Supply-Chains stark zugenommen hat. Laut der Ausgabe 2021 des Reports hat sich dieser Trend keineswegs abgeschwächt, sondern im Gegenteil weiter intensiviert.
Gemäss den neuen Sonatype-Zahlen ist die Anzahl der Angriffe auf Software-Supply-Chains in den letzten 12 Monaten im Vergleich zum Vorjahreszeitraum um nicht weniger als 650% gestiegen. Zu den Angriffen, welche die höchsten Wellen in der Öffentlichkeit warfen, gehören die Hacks von Solarwinds, Codecov und Kaseya.
Gerade die populären Open-Source-Projekte seien häufiger gefährdet, sagt Sonatype: 29% der populären Projektversionen würden mindestens eine bekannte Sicherheitslücke enthalten, während dies nur bei 6,5% der weniger beliebten Projektversionen der Fall sei.
Die Nachfrage nach Open-Source-Paketen, so Sonatype, habe gleichzeitig innerhalb eines Jahres um 73% zugenommen.
Laut dem Bericht beinhalten moderne Applikationen heutzutage im Schnitt 128 Abhängigkeiten zu Open-Source-Paketen. Ein typisches Open-Source-Projekt wiederum veröffentliche 10 Releases pro Jahr. Entwickler müssen sich deshalb dauernd entscheiden, ob und auf welche Version sie eine Komponente ihrer Applikation updaten. In dieser Situation würden Entwickler oft "suboptimale" Entscheidungen treffen, so Sonatype. Nur in 31% werde die optimale Version gewählt, in 64% der Fälle eine suboptimale.
Dies ist allerdings eine Einschätzung von Sonatype selbst. Nur in 3% der von Sonatype untersuchten Fälle wurde von Entwicklern eine Version gewählt, die bereits vor dieser Entscheidung als gefährlich bekannt war.
Auf der Webseite von Sonatype findet man weitere Ergebnisse des Reports.
Loading
APIs bei Twitter werden kostenpflichtig
Schon in weniger als einer Woche werden Entwicklerinnen und Entwickler zur Kasse gebeten. Ein Preismodell gibts noch nicht.
Cyberangriff auf die Uni Zürich
Die Angreifer scheinen äusserst professionell vorzugehen, erklärt die Zürcher Hochschule. Noch gebe es keine Hinweise, dass Daten verschlüsselt oder abgegriffen worden sind.
So arbeiten Googles interne Hacker
Hoodies, Plasmalampen, digitale Brandstiftung. Daniel Fabian, Leiter von Googles Team Red, zeigt Praktiken seiner Hacker-Gruppe.
DXC hofft auf Turnaround im kommenden Jahr
Der Umsatz des IT-Dienstleisters ist im abgelaufenen Quartal erheblich geschrumpft. Im nächsten Geschäftsjahr soll es aber wieder aufwärts gehen, sagt der CEO.