Drei unkonventionelle Strategien zur Verbesserung der Sicherheit der Softwarelieferkette.
Die Geschwindigkeit, mit der ein Unternehmen Software entwickeln und bereitstellen kann, spielt eine entscheidende Rolle für ihren Erfolg in der Geschäftswelt. Entwicklerteams bemühen sich ständig darum, ihre Effizienz zu steigern, und greifen dabei oft auf Open-Source-Bibliotheken und -Komponenten zurück, um ihre »Time-to-Market« zu beschleunigen. Forschungsergebnisse deuten darauf hin, dass bis zu 97 Prozent aller Anwendungen auf Open-Source-Software angewiesen sind [1].
Zwar sind Open-Source-Repositorys von erheblichem Nutzen für die Steigerung der Produktivität, allerdings sind sie auch ein attraktives Ziel für Cyberkriminalität geworden. Indem sie nur ein Softwarepaket innerhalb einer Open-Source-Bibliothek kompromittieren, können Bedrohungsakteure versteckten Zugriff auf mehrere Organisationen erhalten und so potenziell die Arbeit zahlreicher Entwickler und den Geschäftserfolg von Unternehmen weltweit gefährden.
Schnelligkeit darf keinesfalls auf Kosten der Sicherheit gehen, wenn es um die zügige Entwicklung von Software geht. Sie können folgende drei pragmatische Maßnahmen ergreifen, um Risiken in der Softwarelieferkette zu minimieren:
Open-Source-Bibliotheken sollten gründlich gescannt werden. Im Jahr 2022 hatten Angriffe auf Softwarelieferketten erhebliche Auswirkungen und betrafen mehr als 10 Millionen Personen in über 1.700 Organisationen weltweit. Die Mehrheit dieser Angriffe beinhaltete kompromittierte oder bösartige Open-Source-Code-Komponenten. Diese Statistiken sind erschütternd, aber nicht wirklich überraschend. Branchenstudien zeigen, dass allein NPM in einem Monat 95.000 neue Pakete und 750.000 neue Versionen bestehender Pakete hinzugefügt hat. Obwohl Open-Source-Bibliotheken bestrebt sind, die Integrität des Codes aufrechtzuerhalten, macht ihre grundsätzlich offene Natur eine umfassende Überprüfung nahezu unmöglich. Daher liegt es in der Verantwortung der Unternehmen, die Sicherheit dieser Pakete zu gewährleisten, bevor sie in ihre Entwicklungs-Pipeline integriert werden. Man könnte die Beziehung zu Open Source mit Wikipedia vergleichen: Es ist eine wertvolle Ressource, aber die Benutzer müssen die Richtigkeit der Informationen selbst überprüfen.
Um eine effektive Überprüfung zu gewährleisten, können Organisationen eine Verbindung zu Open-Source-Repositorys herstellen und die Metadaten von Paketen oder Updates scannen. Dieser Prozess hilft dabei, potenzielle Verbindungen zu bösartigen Aktivitäten oder Schwachstellen zu identifizieren und gleichzeitig die Aktualität des Codes zu bewerten. Wenn diese Fragen geklärt sind, können Entwickler den Code bedenkenlos in ihr Ökosystem integrieren.
Verfolgen Sie einen erweiterten, über Shift-Left hinausgehenden Ansatz. Das Shift-Left-Modell, das eine genaue Prüfung von Open-Source-Komponenten so nah wie möglich an ihrem Einstiegspunkt vorsieht, ist für Unternehmen von großer Bedeutung. Es markiert eine erhebliche Weiterentwicklung von den frühen »Wild-West«-Tagen der Softwareentwicklung, als der Code erst in den letzten Phasen überprüft wurde, was dazu führte, dass beim Auftreten von Problemen komplette Neustarts notwendig wurden. Mit diesem Fortschritt in der Softwareentwicklung werden Unternehmen, die sich der umfassenden Sicherheit verpflichtet fühlen, vermehrt nach Methoden suchen, die über den Shift-Left-Ansatz hinausgehen.
Eine grundlegende Verbesserung der Sicherheitsstruktur kann erreicht werden, indem Komponenten auf Schwachstellen überprüft werden, bevor sie in Ihre integrierte Entwicklungsumgebung eingeführt werden. Erstellen Sie dafür eine abgetrennte Umgebung, in der eingehender Open-Source-Code mit den individuellen Richtlinien der Organisation übereinstimmt und nicht-konformer Code herausgefiltert wird, bevor er in Ihr Ökosystem gelangt.
Zentralisieren der Sicherheitsmaßnahmen mit einer einheitlichen Plattform. Die Umsetzung der genannten Maßnahmen stellt einen kosteneffizienten Ansatz zur Bewältigung von Sicherheitsbedenken in Ihrer Softwarelieferkette dar. Darüber hinaus sorgt die Zusammenarbeit mit einem spezialisierten Lösungsanbieter in diesen Bereichen für Wachsamkeit gegenüber Sicherheitsproblemen, die in späteren Phasen des Softwareentwicklungszyklus auftreten können.
Angesichts der dynamischen Natur von Open-Source-Datenbanken liegt es auf der Hand, dass keine absolute Sicherheit gewährleistet werden kann – selbst wenn ein Paket Scans und Sicherheitsmaßnahmen vor dem Shift-Left besteht. Das Heranziehen eines Lösungsansatzes, der jede Phase dieses Lebenszyklus versteht, ermöglicht es Unternehmen, zu jedem Zeitpunkt während der Entwicklung notwendige Abhilfemaßnahmen ergreifen zu können.
Eine auf Sicherheit ausgerichtete Softwarelieferkettenplattform, die Automatisierung und die oben erwähnten Best Practices integriert, erlaubt es Entwicklern, die Softwarebereitstellung zu beschleunigen und gleichzeitig die Sicherheit des Unternehmens zu stärken.
Sicherheit der Softwarelieferkette als Priorität. Das Open-Source-Ökosystem, auf das ein Großteil der modernen Softwareentwicklung angewiesen ist, ist fest etabliert. Die Geschwindigkeit und Benutzerfreundlichkeit, die diese Bibliotheken bieten, machen sie zu unverzichtbaren Ressourcen für Entwicklungsteams. Doch müssen aufgrund ihrer einzigartigen Beschaffenheit Einzelpersonen und Organisationen, die sie verwenden, die Verantwortung für eine sichere Nutzung übernehmen.
Durch die Umsetzung der drei genannten Schritte können Sie weiterhin Innovation und Effizienz in Ihren Entwicklungsabläufen vorantreiben, während Sie gleichzeitig erstklassige Sicherheitsmaßnahmen in der gesamten Unternehmensstruktur etablieren.
Sharan Hiremath,
Senior Product Manager
bei JFrog
[1] https://venturebeat.com/programming-development/github-releases-open-source-report-octoverse-2022-says-97-of-apps-use-oss/