Report

Zunahme von Next-Generation Open-Source-Cyber-Angriffen

Sonatype, das Unternehmen, das DevOps durch Open Source Governance und Software Supply Chain Automatisierung skaliert, veröffentlicht seinen jährlichen State of the Software Supply Chain Report.

Der diesjährige Bericht ergab einen massiven Anstieg der Next-Generation-Cyber-Angriffe um 430 %, die darauf abzielen, Open-Source-Software-Supply-Chains aktiv zu infiltrieren.  

Anzeige

Zunahme von Next-Gen-Angriffen auf Software-Lieferketten

Dem Bericht zufolge wurden im Zeitraum Juli 2019 bis Mai 2020 insgesamt 929 Next-Generation-Angriffe auf Software Supply Chains verzeichnet. Im Vergleich dazu wurden in den vier Jahren zwischen Februar 2015 und Juni 2019 insgesamt 216 solcher Angriffe verzeichnet.

Der Unterschied zwischen “Next-Generation”- und “Legacy”-Angriffen auf Software-Lieferketten ist einfach, aber von entscheidender Bedeutung: Next-Generation-Angriffe wie Octopus Scanner und electron-native-notify sind strategisch ausgerichtet, unter Beteiligung gefährlicher Akteure, die absichtlich auf “Upstream”-Open-Source-Projekte abzielen und diese heimlich kompromittieren, so dass sie anschließend Schwachstellen ausnutzen können, wenn diese unweigerlich “Downstream” in die freie Wildbahn gelangen.  Umgekehrt sind Legacy-Angriffe auf die Software-Supply-Chain, wie beispielsweise Equifax, taktisch und involvieren bösartige Akteure, die darauf warten, dass neue Zero-Day-Schwachstellen öffentlich bekannt werden, und dann in einem Wettlauf darum kämpfen, diese Schwachstellen auszunutzen, bevor andere Abhilfe schaffen können.

Geschwindigkeit bleibt entscheidend, wenn es darum geht, auf Lecagy-Angriffe zu reagieren, die sich gegen Software-Supply-Chains richten

Dem Bericht zufolge unterscheiden sich die Software-Entwicklungsteams in Unternehmen in ihren Reaktionszeiten auf Schwachstellen in Open-Source-Softwarekomponenten:

  • 47 % der Unternehmen wurden nach einer Woche auf neue Open-Source-Schwachstellen aufmerksam; und
  • 51% der Unternehmen brauchten mehr als eine Woche, um die Open-Source-Schwachstellen zu beheben 

Im zweiten Jahr in Folge arbeitete Sonatype mit den Forschern Gene Kim von IT Revolution und Dr. Stephen Magill, CEO von MuseDev, zusammen, um zu untersuchen, wie High-Performance-Teams hervorragende Ergebnisse beim Risikomanagement erzielen und gleichzeitig ein hohes Produktivitätsniveau aufrechterhalten können. Die Forscher stellten fest, dass nicht alle Unternehmen verbesserten Risikomanagement-Methoden auf Kosten der Produktivität der Entwickler Vorrang einräumen. Der diesjährige Bericht zeigt, dass High-Performance-Entwicklungsteams Open-Source-Schwachstellen 26-mal schneller erkennen und beheben und Codeänderungen 15-mal häufiger deployen als ihre Kollegen. Bei den High-Performern lag die Wahrscheinlichkeit

  • 59 % höher, Software-CompositionAnalysis-(SCA)-Tools einzusetzen, um bekannte angreifbare OSS-Komponenten innerhalb des Software-Delivery-Lifecycle (SDLC) zu erkennen und diese Schwachstellen zu beheben
  • 51 % höher, die SBOMs (Software Bill of Materials) für Applikationen zentral zu verwalten
  • 4,9-mal höher, Abhängigkeiten erfolgreich zu aktualisieren und Schwachstellen ohne Probleme zu beheben
  • 33-mal höher, davon vertrauen zu können, dass OSS-Abhängigkeiten sicher sind (d. h. keine bekannten Schwachstellen)
Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.

Weitere Ergebnisse der Studie:

  • 1,5 Billionen Download-Anfragen für Komponenten werden für 2020 übergreifend für alle wichtigen Open-Source-Ökosysteme prognostiziert 
  • 10 % der Downloads von Java-OSS-Komponenten durch Entwickler hatten bekannte Sicherheitslücken
  • 11 % der Open-Source-Komponenten, die Entwickler in ihre Anwendungen einbauen, sind bekanntermaßen anfällig, wobei im Durchschnitt 38 Schwachstellen entdeckt wurden 
  • 40 % der npm-Pakete enthalten Abhängigkeiten mit bekannten Schwachstellen 
  • Neue Open-Source Zero-Day-Schwachstellen werden innerhalb von 3 Tagen nach der öffentlichen Bekanntgabe ausgenutzt 
  • Der durchschnittliche Quellcode eines Unternehmens stammt aus 3.500 OSS-Projekten, darunter über 11.000 Komponentenversionen. 

Der Report sollte hier zum Download verfügbar sein.

www.sonatype.com

Anzeige

Artikel zu diesem Thema

Weitere Artikel

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.