Thought Leadership
Vor einigen Tagen wurde ein Missbrauchsfall eines Entwicklers publik. Er hatte das Paket ‘ctx’ von PyPI gehijackt.
Die unbekannte Person, die für das Hochladen des schädlichen Pakets in PyPI verantwortlich war, nutzte eine abgelaufene Domain aus, kaufte den Namen und erlangte dann in den Besitz der E-Mail-Adresse, die für das ursprüngliche Repository registriert wurde. Er oder sie tat dies, um sich selbst eine E-Mail zur Wiederherstellung des Passworts zu schicken und sich als der ursprüngliche Projektbetreuer auszugeben. Gemerkt hatte dies Somdev Sangwan und entsprechend die Community gewarnt.
Der Vorfall, der bei Portswigger erläutert wird, hat das Potenzial, Unternehmen weltweit extrem zu schaden – einige Experten vergleichen ihn bereits mit Log4J. Da die Open-Source-Lösung wöchentlich mehr als 20.000 Mal heruntergeladen wird, ist es leicht vorstellbar, dass sich ein Angriff wie dieser schnell verbreitet. Obwohl PyPI die schadhafte Version von ‘ctx’ entfernt hat, weiß man nicht, wie viele Entwickler sie in der Zwischenzeit heruntergeladen haben und ihre Umgebungen ungeschützt lassen.
Open-Source-Komponenten sind heute in 92 Prozent aller Anwendungen enthalten – sie erleichtern heute eine Vielzahl an Prozessen. Angriffe wie dieser zeigen jedoch, dass Unternehmen nicht blind auf Open-Source-Lösungen vertrauen können, da sie kaum wissen, wer sie entwickelt oder zu ihnen beigetragen hat, so dass die Unternehmen völlig ungeschützt sind. Die Entwickler werden nicht aufhören, Open-Source-Lösungen zu nutzen, da sie so schnell vorankommen können. Das bedeutet, dass in nativen Cloud-Umgebungen ein Zero Trust-Vertrauensmodell eingesetzt werden muss, bei dem jede Open-Source-Komponente analysiert und ihr Risikoniveau bewertet wird, bevor sie genehmigt oder abgelehnt wird. Das manuell zu tun, wäre natürlich ein unglaublich langsamer und frustrierender Prozess, der zu Reibungen zwischen Sicherheits- und Entwicklerteams führen würde, weshalb Automatisierung ein absolutes Muss ist. Ohne sie sind Unternehmen einfach nicht in der Lage, sowohl schnell als auch sicher zu entwickeln.
Steve Judd, Senior Solutions Architect bei Jetstack
