Da Unternehmen zunehmend auf freie und Open-Source-Software (FOSS) setzen, wird ihre Sicherheit unnötig aufs Spiel gesetzt.
Das geht aus dem neuesten Bericht (wird in einem neuen Tab geöffnet) des Software-Supply-Chain-Sicherheitsunternehmens Sonatype hervor, das ein düsteres Bild der Arten von Open-Source-Software zeichnet, auf die sich Unternehmen möglicherweise verlassen, um Softwarekosten zu senken.
Laut dem State of the Software Supply Chain-Bericht des Unternehmens laden Entwickler nun im achten Jahr jeden Monat 1.200 Milliarden angreifbare Abhängigkeiten herunter, und von dieser Zahl hatten 96 % eine nicht angreifbare Alternative.
Eine Zunahme von OSS-Angriffen auf die Lieferkette
Der Angriff auf Open-Source-Repositorys, die dann heruntergeladen und in Unternehmenssoftware integriert werden, ist ein klares Beispiel für einen Cyberangriff auf die Lieferkette.
Mit etwa 1500 Abhängigkeitsänderungen pro Anwendung pro Jahr übt die Wartung von Open-Source-Ökosystemen einen großen Druck auf Entwickler aus, und es werden immer Fehler gemacht.
Vielleicht als Folge berichtet Sonatype, dass diese Art von Cyber-Aktivität einen massiven Anstieg erlebt hat, nämlich um 633 % im Jahresvergleich.
Er glaubt jedoch, dass es eine Lösung gibt: in erster Linie die Minimierung von Abhängigkeiten und die Beschleunigung von Software-Updates auf Endpunkten. Außerdem wird empfohlen, Ingenieure auf anfällige FOSS-Abhängigkeiten aufmerksam zu machen.
Sonatype stellte fest, dass mehr als zwei Drittel (68 %) davon überzeugt waren, dass ihre Anwendungen keine anfälligen Bibliotheken verwenden, obwohl der gleiche Prozentsatz von Unternehmensanwendungen (68 %) bekannte Schwachstellen in ihren Open-Source-Softwarekomponenten enthielt.
Darüber hinaus waren IT-Administratoren mehr als doppelt so häufig der Meinung, dass ihre Unternehmen Softwareprobleme während der Entwicklungsphase routinemäßig angehen, als ihre IT-Sicherheitskollegen.
Für Sonatype müssen Unternehmen den Softwareentwicklungsprozess mit intelligenteren Tools, mehr Transparenz und besserer Automatisierung vereinfachen und rationalisieren.
Angriffe auf die Lieferkette gehören zu den verheerendsten Cybervorfällen der letzten Jahre, darunter Vorfälle, die auf der log4j-Schwachstelle und der SolarWinds-Kompromittierung basieren. Auch heute noch kompromittieren Cyberkriminelle Unternehmen aller Formen und Größen, indem sie den log4j-Fehler verwenden.
Über VentureBeat (Wird in einem neuen Tab geöffnet).