Zunahme von Next-Gen-Angriffen auf Software-Lieferketten
Dem Bericht zufolge wurden im Zeitraum Juli 2019 bis Mai 2020 insgesamt 929 Next-Generation-Angriffe auf Software Supply Chains verzeichnet. Im Vergleich dazu wurden in den vier Jahren zwischen Februar 2015 und Juni 2019 insgesamt 216 solcher Angriffe verzeichnet.
Der Unterschied zwischen "Next-Generation"- und "Legacy"-Angriffen auf Software-Lieferketten ist einfach, aber von entscheidender Bedeutung: Next-Generation-Angriffe wie Octopus Scanner und electron-native-notify sind strategisch ausgerichtet, unter Beteiligung gefährlicher Akteure, die absichtlich auf Open-Source-Projekte ‚upstream‘ abzielen und diese heimlich kompromittieren, so dass sie anschließend Schwachstellen ausnutzen können, wenn diese unweigerlich ‚downstream‘ in die freie Wildbahn gelangen. Umgekehrt sind Legacy-Angriffe auf die Software Supply Chain, wie beispielsweise Equifax, taktisch ausgelegt. Hierbei warten Kontrahenten darauf, dass neue Zero-Day-Schwachstellen öffentlich bekannt werden, um dann in einem Wettlauf mit der Zeit diese Schwachstellen ausnutzen, bevor andere Abhilfe schaffen können.
"Nach dem berüchtigten Equifax-Hack im Jahr 2017 haben Unternehmen ihre Investitionen deutlich erhöht, um ähnliche Angriffe auf die Open-Source-Software-Supply-Chains zu verhindern", erklärt Wayne Jackson, CEO von Sonatype. "Unsere Untersuchungen zeigen, dass kommerzielle Entwicklungsteams immer schneller in der Lage sind, auf neue Zero-Day-Schwachstellen zu reagieren. Daher überrascht es nicht, dass die Next-Generation-Angriffe auf Supply-Chains um 430 % zugenommen haben, da die Angreifer ihre Aktivitäten ‚upstream‘ verlagern, wo sie eine einzelne Open-Source-Komponente infizieren können, die potenziell ‚downstream‘ verteilt und dort strategisch und verdeckt ausgenutzt werden kann".
Geschwindigkeit bleibt entscheidend, wenn es darum geht, auf Legacy-Angriffe zu reagieren, die sich gegen Software-Supply-Chains richten
Dem Bericht zufolge unterscheiden sich die Software-Entwicklungsteams in Unternehmen in ihren Reaktionszeiten auf Schwachstellen in Open-Source-Software-Komponenten:
- 47 % der Unternehmen wurden nach einer Woche auf neue Open-Source-Schwachstellen aufmerksam; und
- 51 % der Unternehmen brauchten mehr als eine Woche, um die Open-Source-Schwachstellen zu beheben
Im zweiten Jahr in Folge arbeitete Sonatype mit den Forschern Gene Kim von IT Revolution und Dr. Stephen Magill, CEO von MuseDev, zusammen, um zu untersuchen, wie High-Performance-Teams hervorragende Ergebnisse beim Risikomanagement erzielen und gleichzeitig ein hohes Produktivitätsniveau aufrechterhalten können. Die Forscher stellten fest, dass nicht alle Unternehmen verbesserten Risikomanagement-Methoden auf Kosten der Produktivität der Entwickler Vorrang einräumen.
Der diesjährige Bericht zeigt, dass High-Performance-Entwicklungsteams Open-Source-Schwachstellen 26-mal schneller erkennen und beheben und Codeänderungen 15-mal häufiger deployen als ihre Kollegen. Bei den High-Performern lag die Wahrscheinlichkeit
- 59 % höher, Software-Composition-Analysis-(SCA)-Tools einzusetzen, um bekannte angreifbare OSS-Komponenten innerhalb des Software-Delivery-Lifecycle (SDLC) zu erkennen und diese Schwachstellen zu beheben
- 51 % höher, SBOMs (Software Bill of Materials) für Applikationen zentral zu verwalten
- 4,9-mal höher, Abhängigkeiten erfolgreich zu aktualisieren und Schwachstellen ohne Probleme zu beheben
- 33-mal höher, davon vertrauen zu können, dass OSS-Abhängigkeiten sicher sind (d. h. keine bekannten Schwachstellen)
Weitere Ergebnisse der Studie:
- 1,5 Billionen Download-Anfragen für Komponenten werden für 2020 übergreifend für alle wichtigen Open-Source-Ökosysteme prognostiziert (siehe Seite 13)
- 10 % der Downloads von Java-OSS-Komponenten durch Entwickler hatten bekannte Sicherheitslücken
- 11 % der Open-Source-Komponenten, die Entwickler in ihre Anwendungen einbauen, sind bekanntermaßen anfällig, wobei im Durchschnitt 38 Schwachstellen entdeckt wurden (siehe Seite 34)
- 40 % der npm-Pakete enthalten Abhängigkeiten mit bekannten Schwachstellen (siehe Seite 32)
- Neue Open-Source Zero-Day-Schwachstellen werden innerhalb von 3 Tagen nach der öffentlichen Bekanntgabe ausgenutzt (siehe Seite 11)
- Der durchschnittliche Quellcode eines Unternehmens stammt aus 3.500 OSS-Projekten, darunter über 11.000 Komponentenversionen. (siehe Seite 33)
"Wir haben festgestellt, dass High-Performance-Teams in der Lage sind, Sicherheits- und Produktivitätsziele gleichzeitig zu erreichen", sagte Gene Kim, DevOps-Forscher und Autor des WSJ-Bestsellers ‚The Unicorn Project‘. "Es ist wirklich sehr beeindruckend, ein genaueres Verständnis über die Prinzipien und Verfahren, wie diese Ziele erreicht werden, sowie die messbaren Ergebnisse zu gewinnen".
"Es war wirklich spannend, so viele Beweise dafür zu finden, dass dieser vieldiskutierte Kompromiss zwischen Sicherheit und Produktivität in Wirklichkeit eine falsche Dichotomie ist. Mit der richtigen Kultur, den richtigen Arbeitsabläufen und den richtigen Tools können Entwicklungsteams großartige Ergebnisse in den Bereichen Sicherheit und Compliance erzielen und gleichzeitig eine erstklassige Produktivität erreichen", so Dr. Stephen Magill, Principal Scientist bei Galois & CEO von MuseDev.
Über den State of the Software Supply Chain Report
Der diesjährige Bericht vereint eine breite Palette öffentlicher und proprietärer Daten und Analysen, darunter Umfrageergebnisse von über 5.600 Software-Entwicklern, die Evaluierung von 24.000 Open-Source-Projekten und die Beurteilung von 15.000 Entwicklungsorganisationen. Im zweiten Jahr in Folge arbeitete Sonatype mit den Forschern Gene Kim von IT Revolution und Dr. Stephen Magill, CEO von MuseDev, zusammen, um zu untersuchen, wie High-Performance-Entwicklungsteams bessere Ergebnisse beim Risikomanagement erzielen und gleichzeitig die Produktivität steigern können.
Zusätzliche Ressourcen
- Lesen Sie den 2020 State of the Software Supply Chain Report
- Lesen Sie den Sonatype Blog
- Erstellen Sie kostenlos eine Software Bill of Materials
- Erfahren Sie mehr über die Software Supply Chain Automatisierungslösungen von Sonatype
Sonatype ist mit mehr als 350 Mitarbeitern, über 1.000 Unternehmenskunden und mehr als 10 Millionen Software-Entwicklern führend in der Automatisierungstechnologie für Software Supply Chains. Die Nexus-Plattform von Sonatype ermöglicht DevOps-Teams und Entwicklern die automatische Integration von Sicherheit in jeder Phase der modernen Entwicklungs-Pipeline durch die Kombination umfassender Komponentendaten mit einer Echtzeit-Anleitung zur Fehlerbehebung. Weitere Informationen erhalten Sie unter Sonatype.com oder über Facebook, Twitter oder LinkedIn.
SONATYPE Inc.
8161 Maple Lawn Blvd STE 250
USA20759 Fulton
Telefon: +1 (301) 684-8080
https://www.sonatype.com
PR für Sonatype
Telefon: +49 7042 1205073
E-Mail: sonatype@martinakunze.com