Die wicktigsten Risiken für Ihre Software-Lieferkette

现代软件的开始代码。Tatsächlich macht der Code von Erstanbietern oft nueinen kleinen Teil - mitunter lediglich 10% derArtefaktsammlung艾纳·安文东·奥斯。

Die Software- lieferkette eines Unternehmens um快速zahlreiche Bestandteile aus unterschedlichen Quellen:开源- paketen, kommerzieller Software，基础设施即代码- bzw。IaC-Dateien, Containern, Betriebssystem-Images und mehr。幸福的生活unzähligeRisikopunkte祖茂堂berucksichtigen。Auch birgt sie aufgrund von menschlichen Fehlern und Nachlässigkeiten, schlechter Qualität sowie böswilligen Angriffen ein großes Potenzial für Sicherheitsbedrohungen。

德国经济发展趋势für软件

Das Wissen um dieseanfalligen Risikopunkteist für den Schutz Ihrer Software-Lieferkette wicichtig。Diese jedoch mit Einzellösungen beheben zu wollen, ist Sisyphusarbeit - eine an einem Punkt ausgemerzte Bedrohung kann siich leicht unerkannt anderer Stelle erneut etablieren。

Der vollständige Schutz Ihrer Lieferkette vor Bedrohungen erfordert durchgängige Wachsamkeit。Diese Wachsamkeit开始bereits, bevor Ihre Entwickler externe Pakete abrufen, und ist auch bei der Entwicklung von eigenem Code, der Codekompilierung, der Erstellung von inter - builds sowie der Veröffentlichung und Verteilung bis hin zur production - und sogar über die Bereitstellung hinaus - erforderlich。大不愉快的夜晚，和你在一起的日子。我们的故事können我们的故事是美好的。

在zwei kaategorien unterteilen的软件- lieferkette lassen sich (grob)。

艺术之子，愤怒之死，冒犯自然之死，生活之妇Informationen über die软件祖茂堂gewinnen。Ein gängiges Beispiel ist der Versuch, einen Webdienst远程abzubilden oder eine软件für IoT-Devices einzuschleusen, um siich mit den verwendeten开源- paketen vertraut zu machen。Für die Hacker ist es daraufinin in Leichtes, mit diesen Paketen verbundene CVE-Informationen ausfindig zu machen, mehr über die Sicherheitskonfigurationen der Pakete zu erfahren oder sogar noch unbekannte Schwachstellen(零日bedrohungen) zu ermitteln。Nachdem Angreifer ausreichend Kenntnisse über Angriffswege erlangt haben, können sie zum nächsten Schritt übergehen。

大北鸟die Lieferkette genutzt，嗯öffentliche oder private Repositorys mitschädlichen Paketen und Schadcode zu injizirenoder vorhandenen代码zu verändern。

Bedrohung der Software-Lieferketten über zwei Angriffswege

Werfen wir einen Blick auf vier gängige Risiken für die Software-Lieferkette, die diese für Angriffe anfällig machen können:

1.一条Schwachstellen

Komponenten von Drittanbietern - wie etwa开源和kommerzielle软件- können unbeabsichtigte Schwachstellen enthalten。Viele davon sind bekannt and in derCVE-Liste(常见漏洞和暴露= häufige Schwachstellen und Risiken) aufgeführt。

Sie können diese Risiken mittels einerSCA-Lösung(软件组件分析)aufdecken。大贝模具SBOM(软件物料清单)eines代码订购人工制品鉴定和验收。Für den Vergleich werden meist die Metadaten der identifiierten Software and öffentliche CVE-Datenbanken herangezogen。

Sie benötigen jedoch auch ausreichend Informationen，嗯risikobasierte Entscheidungen treffen and automatisieren您能说。Eine erweiterte Datenbank ist dafür unddingbar。该死的，这是一个美好的夜晚，这是一个美好的夜晚Sicherheitsuntersuchungendurchfuhren。死亡ermöglicht法国，德国，法国，德国，法国，德国，法国，德国，法国，德国，法国，德国kostengünstigste法国wählen。

Gleichermaßen wicktig sindKontextanalysen，嗯die Angriffswahrscheinlichkeit über die verschiedenen Sicherheitslücken zu ermitteln。Möglicherweise怪异的eine anfällige Funktion在einer Komponente nicht von der Anwendung genutzt oder ein anfälliger Prozess nie在einer Produktionsversion ausgeführt。最佳配置können eine CVE-Liste auch nutzlos machen。

奥赫贝scheinbar sicheren Komponenten lassen sich potenzielleoperationelle Risikenerkennen。Ein seit Längerem nicht verwaltetes Open-Source-Paket wurde beispielsweise vielleicht auch nicht ausreichend hinsichtlich Sicherheitsproblemen überwacht。In diesen Fällen best trotz fehlender Gewissheit hinsichtlich Schwachstellen ein erhöhtes Bedrohungspotenzial。

Diese bekannten and potenziellen Risiken können and sollten and folgenden Punkten entdeckt werden:

• Quellcode: Die Sicherheit berits frühzeitig bei der Codeerstellung zu überwachen, kann später Kosten für Die Behebung von Schwachstellen sparen。sicherheitsteamkönnen ein internnes Repository genehmigter Komponenten von drittanbieteren erstellen。Warnungen an Entwickler bezüglich anfälliger Abhängigkeiten infolge von Erweiterungen auf die integrerte Entwicklerumgebung (IDE)信德ebenfalls eine选项。在这里，我能听到你的声音，我能听到你的声音。Zu bedenken ist jedoch, dass shift - left sicherheitstools die Entwickler in der Regel mit Hunderten oder Tausenden Aufgaben überfrachten, die under dem Gesichtspunkt der Sicherheit niht zwingend effektiv sind, da der vollständige Kontext der Schwachstelle oder des Sicherheitsproblems fehlt。
• Binardateien: Ein自动扫描扫描aller Pakete，构建和图像在wicichtigen Binär-Repositorys (Komponenten von Erst- und Drittanbietern) stellen sicher, dass Ihre komplette软件- lieferkette vor bekannten Schwachstellen und operationellen Risiken geschützt ist。Binärdateien关于生产的问题和ermöglichen关于生产的问题präziseren关于生产的问题和分析。Außerdem lassen sich damit problem analysieren, die mit Shift-Left-Tools und Sicherheitslösungen in der production nicht erkennbar sind。

2.Unbekannte Schwachstellen《零日卧室》

费勒信德在der Codierung nichts Außergewöhnliches。Logische Fehler, schlechte Verschlüsselungen und potenzielle Speichermanipulationen erhöhen die Anfälligkeit von Anwendungen etwa für RCE-(远程代码执行)und DoS-Angriffe(拒绝服务)。Diese Fehler können mitunterjahrelang unbemerkt在代码von Erst- und Drittanbietern lauern， bevor sie erkannt werden。

Sie sind als“零日”- bedrohungen bekannt - zum einen wegen der Dauer ihrer Bekanntheit, aber aufgrund dessen, dass Sicherheitsteams für die Behebung in bereits entwickelter Software“null Tage”haben。

第0天的卧室，第1天的卧室和第1天的卧室，müssen第2天的卧室和第3天的卧室。大贝斯特的相互作用的zwischen unterschedlichen Binärdateien, Prozessen和Diensten zu berücksichtigen。Mit工具für die statische Codeanalyse (zur Überprüfung der Codequelle) sowie die dynamische Codeprüfung (zum Testen des ausgeführten Codes) lassen sich in der Regel 85% der Fehler identifizieren。大贝werden pro Release meist jedoch auch Tausende von Einträgen generiert, sodass Fachkenntnisse erforderlich sind，嗯die Ergebnisse zu interpretieren和zu priorisieren。Neben bekannten Problemen können auch Schwachstellen existtieren, die nicht zwingend angreifbar sind。

Mit forrittlicheren technology, die eeine symbolische Ausführung, datenflussanalysisen and automatisiertes Fuzzing vereinen, können Sie den Anteil an Falschmeldungen drastich reduzieren and Schwachstellen identiieren, die Mit konentionellen SAST- and DAST-Verfahren nht erkennbar信德。Die kombinierte analyze von Quell und Binärdateien kann auch zu besseren Ergebnissen führen。die ermöglicht es Entwicklern, sicherheit蒸汽和生产管理，sich auf die Behebung kritischer Fehler zu konzentrieren。

Trotz akribischer Maßnahmen können jederzeit neue schachstellen erkannt werden und bereits bereitgestellte软件beeinträchtigen。Ein kontinuierlicher sc - scan ermöglicht mitunter eine schnelle Benachrichtigung bezüglich brandaktueller CVEs, die sich auf producktionssoftware auswirken。麻省理工学院umfangreichenSBOM-Metadaten拉森之死vollständigen在伊勒姆的奥斯维尔昆根，埃纳，施瓦克斯特勒恩，恩特涅曼，施内尔，厄米特恩，和心灵的奥德在allen Ihren Anwendungen beheben．Durch die ordnungsgemäße集成mit代码和艺术品库können schnell innerhalb des gesamten Unternehmens ma ß ßnahmen ergriffen werden, um die identifiierte Bedrohung abzuschwächen。

3.夜代码pezifische问题

晚安，请告诉我你的发现。Sie können sich auch in Binärdateien wie EPMs, Containern mit JAR-Dateien, Firmware sowie unterstützenden Artefakten wie Konfigurations- oder IaC-Dateien verbergen。Fehlkonfigurationen, schlechte Verschlüsselung, die Offenlegung von Secrets and privaten Schlüsseln sowie problem mit dem Betriebssystem stellen potenzielle Angriffsflächen dar。

Diese Nebenprodukte menschlicher Fehler sind in der Regel auf Unachtsamkeit zurückzuführen und schleichen sich meist unauffällig in große Entwicklungsprojekte ein。施耐尔für试制工艺können试制工艺für模具生产工艺。Diese Risiken lassen sich oft leicht eliminieren, während sich die Erkennung und anschließende Systemwiederherstellung deutlich schwieriger gestalten。

Selbst kleine Versehen können großen Schaden anrichten。Der beruchtigte太阳风开始MIT einerPasswortoffenlegung auf einem öffentlichen GitHub-Server．达达尔奇·孔蒂特schädlicher对werden的代码，对冒犯vertraulicher Regierungsdaten führte。Verwirrung hinsichtlich der Abhängigkeitzwischen Paketen mit ähnlichen Namen kann ebenfalls ohne böse Absicht entstehen。死亡是在我面前的Auflösung des Paket-Repositorysder下降。

模具问题müssen möglichst früh erkannt werden, bevor sie在模具生产gelangen。Nehmen Sie diese potenziellen Risiken mindestens ebenso ernst, wie Sicherheitslücken in Ihrem Code。温登Sie diese Wachsamkeit auch durchgängig auf den Sicherheitsstatus Ihrer管道和。

4.Schadlicher代码

Vorsätzliche Bedrohungen, egal, ob durch externe Angreifer oder böswillige Insider, können am schwierigsten zu ermitteln sein。Diese Angriffe erfolgen häufig über bereits überprüfte Komponenten。木马，机器人，勒索软件，加密和间谍软件werden oft als Nutzlasten mit den bereits erörterten Schwachstellenarten eingeschleust。Das Infiltrieren beliebter repository mit schädlichen Paketen, Hackerangriffe auf Administratorkonten, um vorhandene Pakete zu机械手，oder die注射von代码在kompromittierte quel -Repositorys sinind gängige Angriffsmethoden über die Hintertür。

我们的精神世界，在我们的精神世界spät。Der Schaden ist bereits angerichet and kann extreme kostspielig sein。ausdiesem Grund sollten Sie Ihre gesamte管道davor schützen:

• Zugriffskontrolle: Bei internen Paket-Repositorys sollte der Schreibzugriff mithilife von unternehmensweit konsistenten Berechtigungen und Authentifizierungen (einschließlich multi - fakor - authentifizierung) auf wicichtige rolen und Teammitglieder bergrenzt werden。
• Proxy-Repositorys: Das Zwischenspeichern externer Repositorys (wie etwa Maven Central und npm) kann einen unveränderlichen快照von driittanbieterresoursourcen liefen。Jegliche nachfolgenden böswilligen Überschreibungen werden dadurch sofort sichtbar。
• 测试与分析: Mit ausgefeilten Tools für statische und dynamische Analysen können Sie Schadcode und böswillige Verhaltensweisen fragwürdiger Pakete erkennen und melden。Das bei JFrog für die Sicherheitsforschung zuständige Team hat mit eigens dafür entwickelten Tools mehr als 1.300 schädliche Pakete在öffentlichen Paket-Repositorys ermittelt。

Durchgängige Wachsamkeit für das risikommanagement der Software-Lieferkette

Während sich einige diesel Risiken einzeln mindern lassen, sind Punktlösungen lediglich Warnsysteme - die nur da helfen, wo Sie Sie gezielt einsetzen。

分开Sicherheitslösungen nützen daher nur bedingt。Infolge der begrenzten Reichweite konann damit niht der vollständige Kontext eines Risikos inhalb der gesamten软件- lieferkette分析和bewertet werden。Unabhängig在仓库和仓库Softwareverwaltungslösungen wäre在仓库和仓库Punktlösungen für在海中死亡äußerst在仓库和仓库的问题。

在那个地方，在那个地方，在那个地方Überwachung在那个地方，在那个地方Überwachung在那个地方，在那个地方Überwachung在那个地方，在那个地方Nischenlösungen在那个地方。

Für die软件安全软件durchgängige Wachsamkeit wichtig。生活开始于生产，结束于生产。Sie erzwingt einen konsistenten Überblick über die Risiken und ermöglicht deren Minderung in entwicklung - und Produktionsumgebungen gleichermaßen。Ihre Sicherheitslösungen müssen Ihre Software-Lieferkette ganzheitlich schützen und umfangreiche Maßnahmen ermöglichen。Für die unternehmensweite Konsistenz ist es wicichtig, dass die Lösung in einer德国中央日报für法国日报Binärdateienausgeführt wid und umfangreich mit Ihren DevOps-Tools integrert ist。

Sie möchten mehr über neue Entwicklungen von JFrog erfahren, die diese Anforderungen erfüllen?注册Sie sich für eine der demnächst stattfindendenswampUp-Stadtetouren在Ihrer Nähe。