Capterra deckt die Zunahme von Schwachstellen in der Software-Lieferkette auf
Laut einer kürzlich durchgeführten Capterra-Umfrage haben 61 % der US-Organisationen im letzten Jahr erhebliche Auswirkungen aufgrund von Schwachstellen in der Software-Lieferkette erlitten, was den dringenden Bedarf an verstärkten Sicherheitsmaßnahmen unterstreicht. Die umfangreiche Umfrage, an der 271 IT- und IT-Sicherheitsspezialisten teilnahmen, versuchte, die Gefährdung amerikanischer Unternehmen durch mögliche Lücken in der Software von Drittanbietern zu analysieren.
Laut einer kürzlich von Capterra, einer Tochtergesellschaft des renommierten Analystenhauses Gartner, durchgeführten Umfrage hat die Besorgnis über die Sicherheit von Software-Lieferketten ein alarmierendes Ausmaß erreicht. Die Ergebnisse zeigen, dass 50 % der Befragten die Bedrohung als "hoch" oder "extrem" einstuften, während weitere 41 % sie als moderat einstuften. Open-Source-Software erwies sich als Hauptursache für die Besorgnis in der Lieferkette. 94 % der US-Unternehmen nutzen inzwischen irgendeine Form von Open-Source-Software, und mehr als die Hälfte von ihnen (57 %) stützt sich auf mehrere Open-Source-Plattformen.
Zach Capers, Analyst bei Capterra, unterstreicht die Bedeutung dieser Zahlen: "Die meisten Softwareplattformen, die nicht vollständig quelloffen sind, enthalten viele quelloffene Pakete, die die Entwickler nutzen, um die Produktion zu beschleunigen." Diese Erkenntnis zeigt, dass das Ausmaß des Problems möglicherweise viel größer ist, als man zunächst annimmt.
Die von Open-Source-Software ausgehende Bedrohung ist keine neue Erkenntnis. Sonatype, ein führendes Unternehmen für die Automatisierung der Software-Lieferkette, meldete einen alarmierenden Anstieg der in Upstream-Open-Source-Paketen entdeckten Supply-Chain-Malware um 742 % zwischen 2019 und 2022. Um das Risiko noch deutlicher zu machen, hat die Linux Foundation herausgefunden, dass ein durchschnittliches Anwendungsentwicklungsprojekt 49 Schwachstellen enthält, die sich auf 80 direkte Abhängigkeiten verteilen.
Capers wies darauf hin, dass die Verbreitung von Anwendungen, die gemeinhin als "App-Sprawl" bezeichnet wird, das Cybersicherheitsrisiko in diesem Bereich verschärft. Er teilte mit, dass Einzelhändler, die in den letzten zwei Jahren Opfer von Cyberangriffen wurden, mit mehr als doppelt so hoher Wahrscheinlichkeit ihr Unglück auf die Ausbreitung von Anwendungen zurückführten als diejenigen, die ungeschoren davonkamen (53 % gegenüber 22 %).
Um diese drängenden Herausforderungen zu bewältigen, gab Capers mehrere Empfehlungen. Erstens müssen sich Unternehmen darauf konzentrieren, den App-Wildwuchs zu reduzieren und einen formellen Risikobewertungsprozess für ihre Software-Lieferkette einzuführen. Erfreulicherweise ergab die Umfrage, dass 64 % der Unternehmen bereits derartige Bewertungen durchführen. Darüber hinaus wurden die Implementierung von Privileged Access Management (61 % der Befragten) und der Einsatz von Honeypots (34 %) als wirksame Maßnahmen zur Risikominimierung und Erhöhung der Sicherheit in der Software-Lieferkette genannt.
Zu den Quellen für diesen Artikel gehört ein Artikel im InfoSecurityMagazine.