Forscher entdeckten einen starken Anstieg verwundbarer Abhängigkeiten in Softwareprojekten, was neue Sorgen über die Sicherheit der Software-Lieferkette auslöst. Der Bericht zeigt, dass unsichere Abhängigkeiten inzwischen deutlich häufiger in Unternehmensentwicklungsumgebungen auftauchen als in den vergangenen Jahren.
Moderne Anwendungen sind stark von Drittanbieterbibliotheken, Frameworks und Open-Source-Komponenten abhängig. Gleichzeitig wachsen die Abhängigkeitsökosysteme immer weiter, wodurch es für Unternehmen zunehmend schwieriger wird, verwundbare Software in komplexen Projekten zu erkennen.
Forscher registrierten einen siebenfachen Anstieg
Der Bericht identifizierte einen siebenfachen Anstieg verwundbarer Abhängigkeiten in Entwicklerprojekten im vergangenen Jahr. Die Forscher analysierten Repositories, Paketmanager und Entwicklungsabläufe in Unternehmensumgebungen, um das Ausmaß des Problems zu messen.
Die Ermittler stellten fest, dass viele Projekte weiterhin veraltete oder nicht mehr unterstützte Pakete in Produktionssysteme importieren. In mehreren Fällen übernahmen Entwickler Schwachstellen indirekt über verschachtelte Abhängigkeitsketten, ohne sich der Gefahr bewusst zu sein.
Die Forscher erklärten, dass moderne Anwendungen Tausende externer Pakete enthalten können. Deshalb wird es für Entwicklungsteams immer schwieriger, sämtliche Abhängigkeiten aktuell und überwacht zu halten.
Angriffe auf die Software-Lieferkette nehmen weiter zu
Der Anstieg verwundbarer Abhängigkeiten spiegelt größere Probleme im Bereich der Sicherheit der Software-Lieferkette wider. Cyberkriminelle greifen zunehmend Open-Source-Ökosysteme an, weil ein einziges kompromittiertes Paket schädlichen Code auf Tausende Systeme verbreiten kann.
Forscher haben bereits Angriffe dokumentiert, die bösartige Paket-Uploads, kompromittierte Entwicklerkonten und sogenannte Dependency-Confusion-Kampagnen umfassen. Sobald Angreifer ein vertrauenswürdiges Paket kompromittieren, können automatische Updates und CI/CD-Pipelines den schädlichen Code schnell in Unternehmensumgebungen verteilen.
Der Bericht warnt außerdem davor, dass viele Unternehmen weiterhin schnelle Entwicklung über die Prüfung von Abhängigkeiten und die langfristige Wartung von Paketen stellen.
Entwickler kämpfen mit fehlender Transparenz
Die Forscher hoben zudem große Transparenzprobleme in modernen Softwareumgebungen hervor. Viele Unternehmen verfügen nicht über vollständige Übersichten darüber, welche Abhängigkeiten sich in internen Anwendungen und Produktionssystemen befinden.
Transitive Abhängigkeiten bleiben ebenfalls ein großes Problem. Entwickler sichern direkte Pakete ab, übersehen jedoch häufig verwundbare Komponenten, die automatisch über sekundäre Abhängigkeiten installiert werden.
Der Bericht zeigt außerdem, dass das Patch-Management in vielen Entwicklungsteams weiterhin uneinheitlich bleibt. Einige Unternehmen nutzen weiterhin nicht unterstützte Versionen, weil Updates Kompatibilitätsprobleme verursachen oder umfangreiche Tests erfordern können.
Sicherheitsexperten empfehlen deshalb zunehmend automatisierte Abhängigkeitsprüfungen, Software Bills of Materials und strengere Kontrollen zur Paketverifizierung, um Risiken in der Lieferkette zu reduzieren.
Open-Source-Ökosysteme stehen unter Druck
Open-Source-Software bildet weiterhin die Grundlage für einen großen Teil moderner Unternehmensinfrastruktur. Die meisten Anwendungen sind heute stark von community-gepflegten Frameworks und externen Bibliotheken abhängig.
Während Open Source Innovationen beschleunigt, warnen Forscher gleichzeitig davor, dass die Entwicklung neue Sicherheitsrisiken schafft. Kleinere Maintainer verfügen oft nicht über die nötigen Ressourcen, um Schwachstellen zu überwachen, verdächtige Beiträge zu prüfen oder schnell auf neue Bedrohungen zu reagieren.
Angreifer beobachten deshalb weiterhin beliebte Ökosysteme auf der Suche nach aufgegebenen Projekten, schwachen Entwicklerkonten und Möglichkeiten, schädlichen Code in vertrauenswürdige Pakete einzuschleusen.
Fazit
Der Anstieg verwundbarer Abhängigkeiten zeigt, wie komplex die Sicherheit der Software-Lieferkette für Unternehmen weltweit geworden ist. Moderne Anwendungen sind von riesigen Ökosystemen aus Drittanbieterkomponenten abhängig, die gleichzeitig die Angriffsfläche für Cyberkriminelle erweitern. Forscher sind deshalb überzeugt, dass Unternehmen ihre Transparenz bei Abhängigkeiten, ihr Patch-Management und ihre Verfahren zur Paketverifizierung verbessern müssen, um langfristige Risiken in der Lieferkette zu reduzieren.
0 Kommentare zu „Verwundbare Abhängigkeiten nahmen in Entwicklerprojekten um das Siebenfache zu“