Sichere Software vom Commit bis zum Deployment
Wie kontinuierliche Software Composition Analysis (SCA) hilft, Risiken in der Software Supply Chain zu erkennen und zu beheben.
Die Software Supply Chain in der modernen Softwareentwicklung erstreckt sich über den gesamten Prozess von der Programmierung bis zur Bereitstellung der Anwendungen. Sie eröffnet dadurch eine Vielzahl von Angriffspunkten, die es im Rahmen der Software Supply Chain Security abzusichern gilt. Jeder einzelne Prozessschritt ist verwundbar gegenüber spezifischen Angriffsstrategien. Das gilt gleichermaßen in der Entwicklungsphase für das Einchecken von Code in eine Versionsverwaltung – Stichwort „Trusted Commits“ – als auch für das Deployment und die Überwachung im produktiven Betrieb der Software. Beim Verwenden von Open-Source-Bibliotheken besteht jederzeit die Gefahr, dass diese Schwachstellen enthalten, die Angreifer ausnutzen können, um komplette Systeme zu kompromittieren oder in Netzwerke einzudringen und Schaden anzurichten. Ein prominentes Beispiel war die im Dezember 2021 bekannt gewordene Sicherheitslücke in der weit verbreiteten Java-Logging-Bibliothek Log4j, die exemplarisch für einen Angriff des Typs „Use bad dependency“ auf die Build-Prozesse steht (vgl. Abbildung 1).
Was war passiert?
Es war nicht das erste Mal, dass eine Schwachstelle in einer Open-Source-Bibliothek für Überstunden in IT-Abteilungen gesorgt hat. Doch was haben wir daraus gelernt? Welche Erkenntnisse wurden gewonnen und welche Maßnahmen ergriffen, um bei der nächsten Zero-Day Vulnerability effizienter agieren zu können? Ist es möglich, schneller herauszufinden, in welchen Produkten eine Bibliothek in einer bestimmten Version verwendet wird?