Sonatype hat einen neuen Software Supply Chain Report veröffentlicht. Schon in der Ausgabe 2020 berichtete der Anbieter von Automatisierungslösungen für Software-Supply-Chains, dass die Zahl der Angriffe von Hackern auf diese Supply-Chains stark zugenommen hat. Laut der Ausgabe 2021 des Reports hat sich dieser Trend keineswegs abgeschwächt, sondern im Gegenteil weiter intensiviert.

Gemäss den neuen Sonatype-Zahlen ist die Anzahl der Angriffe auf Software-Supply-Chains in den letzten 12 Monaten im Vergleich zum Vorjahreszeitraum um nicht weniger als 650% gestiegen. Zu den Angriffen, welche die höchsten Wellen in der Öffentlichkeit warfen, gehören die Hacks von Solarwinds, Codecov und Kaseya.

Gerade die populären Open-Source-Projekte seien häufiger gefährdet, sagt Sonatype: 29% der populären Projektversionen würden mindestens eine bekannte Sicherheitslücke enthalten, während dies nur bei 6,5% der weniger beliebten Projektversionen der Fall sei.

Die Nachfrage nach Open-Source-Paketen, so Sonatype, habe gleichzeitig innerhalb eines Jahres um 73% zugenommen.

Laut dem Bericht beinhalten moderne Applikationen heutzutage im Schnitt 128 Abhängigkeiten zu Open-Source-Paketen. Ein typisches Open-Source-Projekt wiederum veröffentliche 10 Releases pro Jahr. Entwickler müssen sich deshalb dauernd entscheiden, ob und auf welche Version sie eine Komponente ihrer Applikation updaten. In dieser Situation würden Entwickler oft "suboptimale" Entscheidungen treffen, so Sonatype. Nur in 31% werde die optimale Version gewählt, in 64% der Fälle eine suboptimale.

Dies ist allerdings eine Einschätzung von Sonatype selbst. Nur in 3% der von Sonatype untersuchten Fälle wurde von Entwicklern eine Version gewählt, die bereits vor dieser Entscheidung als gefährlich bekannt war.

Auf der Webseite von Sonatype findet man weitere Ergebnisse des Reports.