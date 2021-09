Seit 2015 veröffentlicht das auf DevSecOps spezialisierte Unternehmen Sonatype jährlich den "State of the Software Supply Chain Report". In der diesjährigen Ausgabe weist das Unternehmen einen starken Anstieg der Nutzung von Open-Source-Software nach, aber auch eine erhöhte Angriffsgefahr im Vergleich zum letzten Jahr.

Sicherheitslücken und Angriffe

Sonatype nahm sich die vier größten Anbieter von Open-Source-Software genauer vor: das Maven Central Repository für Java, NuGet für .NET, npm für JavaScript und den Python Package Index (PyPI) für Python. Dabei zeigte sich ein starker Zuwachs von Angebot und Nachfrage nach Open-Source-Software: Im Vergleich zum Vorjahr stieg die Anzahl der Open-Source-Projekte in den vier Ökosystemen um 20 Prozent an, und die Downloads von Komponenten sogar um durchschnittlich 73 Prozent.

Anstieg der Downloads von Maven, npm, PyPI und NuGet im Jahresvergleich 2020 bis 2021 (Bild: Sonatype)

Dabei weist von den oberen 10 Prozent der beliebtesten Open-Source-Projekte fast ein Drittel (29 Prozent) mindestens eine bekannte Sicherheitslücke auf. In den übrigen 90 Prozent der Projekte trifft das nur auf 6,5 Prozent zu. Die Ursache dafür sieht Sonatype in der Fokussierung von Sicherheitsforschern auf die beliebtesten Projekte, potenzielle Lücken in weniger populären Softwarepaketen bleiben daher tendenziell unerkannt.

Anteil von Projekten mit bekannten Sicherheitslücken unter Berücksichtigung ihrer Beliebtheit (Bild: Sonatype)

Zudem nehmen Angriffe auf Open-Source-Software laut der Studie exponentiell zu: Supply-Chain-Angriffe wie Malicious Code Injection und Dependency Confusion weisen einen Zuwachs von 650 Prozent im Vergleich zum Vorjahr auf. Im Report aus dem Jahr 2020 lag dieser Wert noch bei 430 Prozent.

Gesetzliche Regulierungen

Neben weiteren Aspekten wie Peer Practices betrachtet die Studie auch Gesetze zur Regulierung der Software Supply Chain in den USA, dem Vereinigten Königreich, Deutschland, der Europäischen Union sowie global. Beispielsweise kommt das in Deutschland seit Mai 2021 umgesetzte umstrittene IT-Sicherheitsgesetz 2.0 zur Sprache. Demnach unterliegen Hersteller von Softwarekomponenten Anforderungen zur Absicherung der Supply Chain, sofern bestimmte Bedingungen wie der Einsatz ihrer Komponenten in kritischen Infrastrukturen gegeben sind.

Weitere Informationen zur Studie finden sich im Sonatype-Blog sowie im vollständigen "2021 State of the Software Supply Chain Report".

(mai)