Angriffe auf Software-Supply-Chains nehmen weiter zu

15. September 2021, 14:44
  • international
  • vendor
  • sonatype
  • security
  • cyberangriff
image

Open-Source-Softwarepakete werden immer beliebter. Gleichzeitig versuchen Hacker immer intensiver, sie als Vektor zum Einschleusen von Malware zu missbrauchen.

Sonatype hat einen neuen Software Supply Chain Report veröffentlicht. Schon in der Ausgabe 2020 berichtete der Anbieter von Automatisierungslösungen für Software-Supply-Chains, dass die Zahl der Angriffe von Hackern auf diese Supply-Chains stark zugenommen hat. Laut der Ausgabe 2021 des Reports hat sich dieser Trend keineswegs abgeschwächt, sondern im Gegenteil weiter intensiviert.
Gemäss den neuen Sonatype-Zahlen ist die Anzahl der Angriffe auf Software-Supply-Chains in den letzten 12 Monaten im Vergleich zum Vorjahreszeitraum um nicht weniger als 650% gestiegen. Zu den Angriffen, welche die höchsten Wellen in der Öffentlichkeit warfen, gehören die Hacks von Solarwinds, Codecov und Kaseya.
Gerade die populären Open-Source-Projekte seien häufiger gefährdet, sagt Sonatype: 29% der populären Projektversionen würden mindestens eine bekannte Sicherheitslücke enthalten, während dies nur bei 6,5% der weniger beliebten Projektversionen der Fall sei.
Die Nachfrage nach Open-Source-Paketen, so Sonatype, habe gleichzeitig innerhalb eines Jahres um 73% zugenommen.
Laut dem Bericht beinhalten moderne Applikationen heutzutage im Schnitt 128 Abhängigkeiten zu Open-Source-Paketen. Ein typisches Open-Source-Projekt wiederum veröffentliche 10 Releases pro Jahr. Entwickler müssen sich deshalb dauernd entscheiden, ob und auf welche Version sie eine Komponente ihrer Applikation updaten. In dieser Situation würden Entwickler oft "suboptimale" Entscheidungen treffen, so Sonatype. Nur in 31% werde die optimale Version gewählt, in 64% der Fälle eine suboptimale.
Dies ist allerdings eine Einschätzung von Sonatype selbst. Nur in 3% der von Sonatype untersuchten Fälle wurde von Entwicklern eine Version gewählt, die bereits vor dieser Entscheidung als gefährlich bekannt war.
Auf der Webseite von Sonatype findet man weitere Ergebnisse des Reports.

Loading

Mehr zum Thema

image

APIs bei Twitter werden kostenpflichtig

Schon in weniger als einer Woche werden Entwicklerinnen und Entwickler zur Kasse gebeten. Ein Preismodell gibts noch nicht.

publiziert am 3.2.2023
image

Cyberangriff auf die Uni Zürich

Die Angreifer scheinen äusserst professionell vorzugehen, erklärt die Zürcher Hochschule. Noch gebe es keine Hinweise, dass Daten verschlüsselt oder abgegriffen worden sind.

publiziert am 3.2.2023
image

So arbeiten Googles interne Hacker

Hoodies, Plasmalampen, digitale Brandstiftung. Daniel Fabian, Leiter von Googles Team Red, zeigt Praktiken seiner Hacker-Gruppe.

publiziert am 2.2.2023
image

DXC hofft auf Turnaround im kommenden Jahr

Der Umsatz des IT-Dienstleisters ist im abgelaufenen Quartal erheblich geschrumpft. Im nächsten Geschäftsjahr soll es aber wieder aufwärts gehen, sagt der CEO.

publiziert am 2.2.2023