Angriffe auf Software-Supply-Chains nehmen weiter zu

15. September 2021, 14:44
  • international
  • technologien
  • vendor
  • sonatype
  • security
image

Open-Source-Softwarepakete werden immer beliebter. Gleichzeitig versuchen Hacker immer intensiver, sie als Vektor zum Einschleusen von Malware zu missbrauchen.

Sonatype hat einen neuen Software Supply Chain Report veröffentlicht. Schon in der Ausgabe 2020 berichtete der Anbieter von Automatisierungslösungen für Software-Supply-Chains, dass die Zahl der Angriffe von Hackern auf diese Supply-Chains stark zugenommen hat. Laut der Ausgabe 2021 des Reports hat sich dieser Trend keineswegs abgeschwächt, sondern im Gegenteil weiter intensiviert.
Gemäss den neuen Sonatype-Zahlen ist die Anzahl der Angriffe auf Software-Supply-Chains in den letzten 12 Monaten im Vergleich zum Vorjahreszeitraum um nicht weniger als 650% gestiegen. Zu den Angriffen, welche die höchsten Wellen in der Öffentlichkeit warfen, gehören die Hacks von Solarwinds, Codecov und Kaseya.
Gerade die populären Open-Source-Projekte seien häufiger gefährdet, sagt Sonatype: 29% der populären Projektversionen würden mindestens eine bekannte Sicherheitslücke enthalten, während dies nur bei 6,5% der weniger beliebten Projektversionen der Fall sei.
Die Nachfrage nach Open-Source-Paketen, so Sonatype, habe gleichzeitig innerhalb eines Jahres um 73% zugenommen.
Laut dem Bericht beinhalten moderne Applikationen heutzutage im Schnitt 128 Abhängigkeiten zu Open-Source-Paketen. Ein typisches Open-Source-Projekt wiederum veröffentliche 10 Releases pro Jahr. Entwickler müssen sich deshalb dauernd entscheiden, ob und auf welche Version sie eine Komponente ihrer Applikation updaten. In dieser Situation würden Entwickler oft "suboptimale" Entscheidungen treffen, so Sonatype. Nur in 31% werde die optimale Version gewählt, in 64% der Fälle eine suboptimale.
Dies ist allerdings eine Einschätzung von Sonatype selbst. Nur in 3% der von Sonatype untersuchten Fälle wurde von Entwicklern eine Version gewählt, die bereits vor dieser Entscheidung als gefährlich bekannt war.
Auf der Webseite von Sonatype findet man weitere Ergebnisse des Reports.

Loading

Mehr zum Thema

image

BRACK.CH liefert – auch an Geschäftskunden

Bei der Beschaffung von Betriebs- und Verbrauchsmaterial gibt es in vielen Unternehmen und Institutionen Potenzial, um Kosten zu sparen. Dabei kann sich die Lieferantenwahl als entscheidender Schlüsselfaktor erweisen. Vier Gründe, warum es sich lohnt, bei BRACK.CH einzukaufen.

image

Cisco bestätigt Cyberangriff

Der Angriff fand bereits im Mai statt. Die Cyberkriminellen haben jetzt angeblich erbeutete Daten veröffentlicht, während Cisco detailliert den Ablauf schildert.

publiziert am 11.8.2022
image

Chaos Computer Club hackt Verfahren zur Videoidentifikation

Laut CCC ist die Video-Identifizierung ein "Totalausfall". Als Konsequenz des Berichts wurde in Deutschland der Zugang zur E-Patientenakte mittels Video-Ident gestoppt.

publiziert am 10.8.2022
image

Forscher machen CPU-Lücken publik

Nach Meltdown und Spectre finden Forschende neue CPU-Lücken. Beide werden mit mittlerem Risiko eingestuft.

publiziert am 10.8.2022