ClickCease Navigation durch Open-Source-Bedrohungen in der Lieferkette:

Inhaltsübersicht

Abonnieren Sie unseren beliebten Newsletter

Schließen Sie sich 4.500+ Linux- und Open-Source-Experten an!

2x im Monat. Kein Spam.

Open-Source-Bedrohungen in der Lieferkette bewältigen: Schutz für Ihr Software-Ökosystem

Artem Karasev

November 15, 2023 - Senior Product Marketing Manager

In der heutigen Geschäftswelt sind die Unternehmen entschlossen, Software schneller als je zuvor zu entwickeln. Die Entwickler stehen unter enormem Druck, ihre Produkte schnell an die Kunden zu liefern. Um diesen Prozess zu beschleunigen, verlassen sich die Entwickler oft auf vorgefertigte "Bausteine" - Open-Source-Komponenten. Das bedeutet, dass moderne Software häufig aus vorhandenen Teilen zusammengesetzt wird, anstatt sie von Grund auf neu zu entwickeln. Unternehmen mischen oft verschiedene Open-Source-Komponenten, um ein einziges Produkt zu erstellen, und passen es bei Bedarf mit ihrem eigenen Code an, und so beenden sie die Arbeit. 

Nach Angaben von Forresterhat die Nutzung von Open Source in der Softwareentwicklung deutlich zugenommen: von 36 % im Jahr 2016 auf 78 % im Jahr 2021. Und sie wird immer beliebter. Die Verwendung dieser vorgefertigten Lösungen macht den Prozess zwar effizienter, birgt aber auch potenzielle Schwachstellen. Wenn Angreifer erfolgreich kompromittieren Wenn Angreifer diese integrierten Bibliotheken erfolgreich kompromittieren, können sie möglicherweise den gesamten Softwarebereitstellungsprozess kontrollieren und das gesamte Projekt gefährden. Dies wird als Bedrohung der Lieferkette bezeichnet.

Lassen Sie uns darüber sprechen, wie groß das Problem ist und wie man es sicherer machen kann.

 

Warum haben es Hacker auf Open Source abgesehen? 

 

Nun, Open-Source-Projekte werden in der Regel von Gruppen von Menschen erstellt, die wirklich lieben, was sie tun - Entwickler, die gemeinsam an etwas arbeiten, das ihnen am Herzen liegt. Open-Source-Software wird oft kostenlos zur Verfügung gestellt und kann auf verschiedenen Systemen verwendet werden. Unternehmen haben die Freiheit, sie zu nutzen und an ihre Produkte anzupassen. Da an diesen Projekten viele Menschen zusammenarbeiten, können Bösewichte sie manchmal für schlechte Zwecke nutzen.

Open-Source-Projekt-Repositories laden Entwickler häufig dazu ein, Aktualisierungen und neue Funktionen hinzuzufügen, was bedeutet, dass jeder Benutzer, einschließlich böswilliger Akteure, seinen eigenen Code in die Plattform einbringen kann. Viele Gemeinschaften lockern die Kontrollen für neue Mitglieder, sobald das Vertrauen hergestellt ist. Folglich kann ein Angreifer zunächst einen konstruktiven Beitrag leisten und später unbemerkt bösartigen Code einschleusen. 

Hacker nutzen oft Open-Source-Bedrohungen für die Lieferkette, weil es einfacher ist, als bestimmte Ziele wie Bankserver anzugreifen und zu versuchen, deren Sicherheit zu umgehen. Um in das Computersystem einer Bank einzudringen, kann ein Angreifer eine Sicherheitslücke ausnutzen in einer Open-Source-Bibliothek ausnutzen, die die Bank verwendet. So können sie sich ohne große Mühe durch eine "Hintertür" einschleusen. Wenn die Bank den Angriff sofort erkennt und Maßnahmen ergreift, können auch andere Unternehmen, die dieselbe Bibliothek verwenden, davon betroffen sein, was zu einem groß angelegten Angriff auf die Lieferkette führen kann.

 

Bedrohungen der Software-Lieferkette

 

Angriffe auf die Sicherheit der Software-Lieferkette schlagen Wellen im Open-Source-Software-Ökosystem, erregen mehr Aufmerksamkeit und verursachen größere Störungen. Die Forscher des Anwendungssicherheitsunternehmens Synopsys untersuchten und fanden in 84 % der Codebasen mindestens eine bekannte Open-Source-Schwachstelle. Laut dem 9. jährlichen Bericht von Sonatype State of the Software Supply Chain Berichtist die Zahl der bösartigen Open-Source-Pakete im Vergleich zum Vorjahresbericht um das Dreifache gestiegen.

All dies zeigt, dass die Software-Lieferkette zu einem der am schnellsten wachsenden Vektoren für Bedrohungsakteure geworden ist, um bösartigen Code auszuführen. Werfen wir einen kurzen Blick auf einige Tools, die dazu beitragen können, Software während ihrer Herstellung sicher zu machen. 

Werkzeuge zur Analyse der Softwarezusammensetzung (SCA)

 

SCA-Tools analysieren anhand einer Anwendungs-Assembly-Datei automatisch die Code-Basis (einschließlich zugehöriger Artefakte), erstellen eine Liste der in der Software verwendeten Bibliotheken und Komponenten von Drittanbietern und suchen nach Sicherheitslücken. Außerdem können solche Scanner Open-Source-Elemente auf die Einhaltung von Lizenzanforderungen überprüfen.

Im Wesentlichen prüfen diese Tools, ob es eine neuere Version eines Softwareteils gibt und ob bekannte Probleme damit veröffentlicht wurden.

 

Software-Stückliste (SBOM)

 

SBOM ist eine Liste von Open-Source- und anderen Drittanbieter-Elementen, die in der Software-Codebasis verwendet werden. Sie enthält technische Informationen über alle Komponenten und ihre Beziehungen zueinander. SBOM kann auch kurze Informationen über den Namen der Komponente, die Version, die Lizenz, Schwachstellen, transitive Abhängigkeiten und so weiter enthalten.

SBOM-Programme helfen Ihnen dabei, Schwachstellen zu identifizieren und zu minimieren, indem sie den Überblick über Code-Komponenten behalten, Software-Lizenzen verwalten und den Lebenszyklus der Softwareentwicklung (SDLC) verbessern. Die erste Phase der Programmerstellung umfasst die Implementierung von SCA-Tools und anderen Analysatoren, die nahtlos in die CI/CD-Pipeline integriert werden können. 

 

Rahmen für Lieferkettenebenen für Software-Artefakte (SLSA)

 

Dieses Framework wurde von Google in Zusammenarbeit mit der Open Source Security Foundation (OpenSSF) eingeführt. SLSA enthält eine Liste von Standards und Richtlinien zum Schutz vor unbefugtem Zugriff und zur Gewährleistung der Integrität von Software-Artefakten in Lieferketten. SLSA zeigt deutlich, welche Teile der Lieferkette anfällig für Schwachstellen sind.

 

Quelle: https://slsa.dev/spec/v1.0/threats-overview

 

Bevor wir eine Abhängigkeit verwenden, müssen wir sicherstellen, dass sie aus einer vertrauenswürdigen Quelle stammt. Um als vertrauenswürdig zu gelten, muss eine Quelle bestätigen, dass ihre Bibliothek alle angegebenen Anforderungen erfüllt und keine Nutzdaten enthält, die denjenigen schaden könnten, die sie verwenden. Im Idealfall sollten wir über eine so genannte Provenienz verfügen - zusätzliche Informationen über die Herkunft eines Artefakts, anhand derer wir von Anfang an nachvollziehen können, wer, wo, wann und wie etwas erstellt wurde.

Um diesem Prinzip zu folgen, führt SLSA vier Sicherheitsstufen ein: von der ersten Stufe, die das völlige Fehlen jeglicher Garantien beinhaltet, bis zur vierten Stufe, die das höchste Maß an Vertrauen bietet.

Ebene Beschreibung
0 Keine Garantien
1 Dokumentation des Bauprozesses
2 Manipulationssicherheit des Baudienstes
3 Zusätzlicher Widerstand gegen spezifische Bedrohungen
4 Ein Höchstmaß an Vertrauen und Zuversicht

 

Jede Ebene enthält Anforderungen an die Codequelle (Source), den Montageprozess (Build) sowie zusätzliche Informationen über die Herkunft der Artefakte (Provenance). 

 

Vertrauenswürdiges Repository für geprüfte Open-Source-Komponenten

 

Ein vertrauenswürdiges Repository für Open-Source-Komponenten, die ständig aktualisiert, getestet und auf Schwachstellen geprüft werden, kann den Aufwand für Entwickler erheblich verringern. Indem Sie sicherstellen, dass Sie immer die richtigen Bibliotheksversionen zur Verfügung haben, können Sie die Risiken im Zusammenhang mit Abhängigkeiten mindern.

Das ist es, was TuxCare's SecureChain für Java bietet. Der sichere Überprüfungsprozess von SecureChain ermöglicht es Ihnen, die besten und sichersten allgemein verwendeten Bibliotheken für Ihre Anwendungen zu nutzen. Dies reduziert den Zeitaufwand für manuelle Updates und das Risiko, eine Bibliothek mit potenziellen Schwachstellen einzubinden.

SecureChain gibt Ihnen die Gewissheit, dass Ihre Software-Lieferkette sicher ist, so dass Sie sich mehr auf die Entwicklung und Verbesserung Ihrer Anwendungen konzentrieren können.

 

Ein Tor für Angreifer, aber keine Sackgasse 

 

Open Source kann für Angreifer ein Einfallstor sein, um viele Unternehmen zu kompromittieren. Nicht alle Unternehmen können Bedrohungen der Open-Source-Lieferkette schnell erkennen. Angreifer verbergen ihre Aktionen und verwenden trickreiche Techniken, wie das Ausnutzen von Schwachstellen in den Paketverwaltungseinstellungen oder das Hacken von Repositories. Diese Bedrohungen sollten uns jedoch nicht dazu veranlassen, Open Source gänzlich zu meiden. Stattdessen sollten sie Unternehmen dazu veranlassen, Open-Source-Komponenten sorgfältiger auszuwählen und ihre Sicherheitsmaßnahmen zu verbessern.

Zusammenfassung
Open-Source-Bedrohungen in der Lieferkette bewältigen: Schutz für Ihr Software-Ökosystem
Artikel Name
Open-Source-Bedrohungen in der Lieferkette bewältigen: Schutz für Ihr Software-Ökosystem
Beschreibung
Erfahren Sie, wie Sie Ihr Software-Ökosystem vor Bedrohungen in der Open-Source-Lieferkette schützen können. Entdecken Sie Tools und Strategien
Autor
Name des Herausgebers
TuxCare
Logo des Herausgebers

Möchten Sie das Patchen von Sicherheitslücken ohne Kernel-Neustart, Systemausfallzeiten oder geplante Wartungsfenster automatisieren?

Erfahren Sie mehr über Live-Patching mit TuxCare

Werden Sie ein TuxCare-Gastautor

Los geht's

E-Mail

Beitreten

4,500

Linux & Open Source
Fachleute!

Abonnieren Sie
unseren Newsletter