OWASP Top 10 2025: Fehler in der Software-Lieferkette
Mit der mit Spannung erwarteten Veröffentlichung der OWASP Top Ten für das Jahr 2025 müssen sich Unternehmen vor einigen neuen Bedrohungen in Acht nehmen, darunter eine, die ganz oben auf der Liste steht. Software Supply Chain Failures", eine neue Kategorie, die aber nicht ganz neu ist, steht auf Platz 3 der alle vier Jahre erscheinenden Liste des Open Web Application Security Project mit den größten Risiken für die Sicherheit von Webanwendungen. Es ist ein Risiko, das Unternehmen sehr ernst nehmen müssen, wenn sie es nicht bereits tun.
Die Kategorie "Software Supply Chain Failures" ist aus der Kategorie " Vulnerable and Outdated Components" (anfällige und veraltete Komponenten) der vorherigen Liste aus dem Jahr 2021 hervorgegangen und umfasst nun ein breiteres Spektrum an Kompromittierungen im gesamten Software-Ökosystem aus Abhängigkeiten, Build-Systemen und Vertriebsinfrastruktur. Die Aufnahme in die Liste dürfte angesichts der Schäden, die durch viel beachtete Angriffe auf die Lieferkette wie SolarWinds im Jahr 2019, den Bybit-Hack Anfang dieses Jahres und die laufende Shai-Hulud-Kampagne, einen besonders fiesen, sich selbst replizierenden npm-Wurm, der in exponierten Entwicklerumgebungen Schaden anrichtet, nicht besonders überraschen.
Die OWASP-Top-Ten-Liste ist in der Regel konstant, wie es sich für eine Liste gehört, die alle vier Jahre erscheint, wenn auch mit Aktualisierungen dazwischen. Gewöhnlich gibt es einige Verschiebungen innerhalb der Liste: Injection, ein langjähriger Bewohner, fällt beispielsweise von Platz 3 auf Platz 5, Insecure Design fällt um zwei Plätze auf Platz 6, während Security Misconfiguration von Platz 5 auf Platz 2 springt. Die unzureichende Zugangskontrolle steht weiterhin an der Spitze. In der Ausgabe 2025 gibt es zwei neue Einträge, die bereits erwähnten Software Supply Chain Failures und Mishandling of Exceptional Conditions, die auf Platz 10 der Liste stehen. Hier werfen wir einen genauen Blick auf den neuen Eintrag zu den Schwachstellen in der Lieferkette.
Schwachstellen können fast überall auftreten
Software Supply Chain Failures ist eine etwas ungewöhnliche Kategorie auf der Liste, da sie unter den 10 Einträgen die wenigsten Vorkommnisse in den OWASP-Forschungsdaten aufweist, aber auch die höchsten durchschnittlichen Exploit- und Auswirkungswerte hat, die aus den fünf Common Weakness Enumerations (CWEs) in der Kategorie resultieren. OWASP vermutet, dass die begrenzte Präsenz dieser Kategorie auf die derzeitigen Schwierigkeiten bei den Tests zurückzuführen ist, die sich mit der Zeit verbessern könnten. Unabhängig davon nannten die Umfrageteilnehmer mit überwältigender Mehrheit Fehler in der Software-Lieferkette als Hauptanliegen.
Die meisten Schwachstellen in der Lieferkette ergeben sich aus der Verflechtung von Geschäftsabläufen, an denen vor- und nachgelagerte Partner und Dritte beteiligt sind. Jede Interaktion beinhaltet Software, deren Komponenten (auch Abhängigkeiten oder Bibliotheken genannt) ungeschützt sein könnten. Ein Unternehmen kann verwundbar sein, wenn es nicht alle Versionen seiner eigenen Komponenten (clientseitig, serverseitig oder verschachtelt) sowie die transitiven Abhängigkeiten (von anderen Bibliotheken) verfolgt, um sicherzustellen, dass sie nicht verwundbar, nicht unterstützt oder veraltet sind. Komponenten haben in der Regel dieselben Berechtigungen wie die Anwendung, so dass kompromittierte Komponenten, auch solche, die von Dritten oder aus Open-Source-Repositories stammen, weitreichende Auswirkungen haben können. Rechtzeitige Patches und Updates sind unerlässlich - selbst regelmäßige monatliche oder vierteljährliche Patch-Pläne können ein Unternehmen für Tage oder Monate ungeschützt lassen.
Ebenso kann das Fehlen eines Änderungsverwaltungsprozesses in der Lieferkette zu Schwachstellen führen, wenn Sie integrierte Entwicklungsumgebungen (IDEs) oder Änderungen an Ihrem Code-Repository, Image- und Bibliotheks-Repositorys oder anderen Teilen der Lieferkette nicht verfolgen. Ein Unternehmen muss die Lieferkette absichern, indem es Zugriffskontrollen und Richtlinien für die geringsten Rechte anwendet und sicherstellt, dass keine Person ohne Aufsicht Code erstellen und in der Produktion einsetzen kann und dass niemand Komponenten aus nicht vertrauenswürdigen Quellen herunterladen kann.
Angriffe auf die Lieferkette können viele Formen annehmen. Der berüchtigte Angriff auf SolarWinds begann, als russische Angreifer Malware in ein Update der beliebten Netzwerkmanagement-Software des Unternehmens einschleusten. Etwa 18.000 Kunden waren davon betroffen. Obwohl die Zahl der tatsächlich betroffenen Unternehmen eher bei 100 lag, befanden sich auf dieser Liste große Unternehmen und Regierungsbehörden. Der 1,5-Milliarden-Dollar-Hack von Bybit, der nach Nordkorea zurückverfolgt wurde, betraf kompromittierte Kryptowährungsanwendungen. Beim jüngsten Angriff auf die Lieferkette durch den Glass Worm handelte es sich um einen unsichtbaren, sich selbst replizierenden Code, der den Open VSX Marketplace infizierte.
Verhinderung von Exploits in der Lieferkette
Da bei Angriffen auf die Lieferkette die Systeme voneinander abhängig sind, ist für die Abwehr ein umfassender Ansatz erforderlich. OWASP gibt Tipps zur Verhinderung von Angriffen, einschließlich der Einrichtung von Patch-Management-Prozessen, um:
- Kennen Sie Ihre Software-Stückliste (SBOM) für die gesamte Software und verwalten Sie die SBOM zentral. Es ist am besten, SBOMs während des Builds und nicht erst später zu generieren, Standardformate wie SPDX oder CycloneDX zu verwenden und mindestens eine maschinenlesbare SBOM pro Release zu veröffentlichen.
- Verfolgen Sie alle Ihre Abhängigkeiten, einschließlich transitiver Abhängigkeiten, und entfernen Sie ungenutzte Abhängigkeiten sowie unnötige Funktionen, Komponenten, Dateien und Dokumentationen.
- Führen Sie mithilfe von Tools wie OWASP Dependency Check oder retire.js eine kontinuierliche Inventarisierung sowohl der client- als auch der serverseitigen Komponenten und ihrer Abhängigkeiten durch.
- Halten Sie sich über Schwachstellen auf dem Laufenden, indem Sie Quellen wie die Common Vulnerabilities and Exposures (CVE)-Website und die National Vulnerability Database (NVD) kontinuierlich überwachen und E-Mail-Benachrichtigungen über Sicherheitslücken in Bezug auf die von Ihnen verwendeten Komponenten abonnieren.
- Verwenden Sie nur Komponenten, die von vertrauenswürdigen Quellen über sichere Verbindungen bezogen werden. Ein vertrauenswürdiger Anbieter wäre beispielsweise bereit, mit einem Forscher zusammenzuarbeiten, um ein CVE offenzulegen, das der Forscher in einer Komponente entdeckt hat.
- Wählen Sie bewusst die Version einer Abhängigkeit aus, die Sie verwenden wollen, und aktualisieren Sie nur, wenn Sie es müssen. Arbeiten Sie mit Bibliotheken von Drittanbietern, deren Sicherheitslücken in einer bekannten Quelle wie NVD veröffentlicht wurden.
- Überwachen Sie auf nicht gewartete oder nicht unterstützte Bibliotheken und Komponenten. Wenn ein Patching nicht möglich ist, erwägen Sie die Bereitstellung eines virtuellen Patches zur Überwachung, Erkennung oder zum Schutz vor dem entdeckten Problem.
- Regelmäßige Aktualisierung der Entwicklerwerkzeuge.
- Behandeln Sie die Komponenten in Ihrer CI/CD-Pipeline als Teil dieses Prozesses, indem Sie sie härten und überwachen und gleichzeitig die Änderungen dokumentieren.
Das Änderungsmanagement oder ein Nachverfolgungsprozess sollte auch für Ihre CI/CD-Einstellungen, Code-Repositories, Sandboxes, integrierte Entwicklerumgebungen (IDEs), SBOM-Tools, erstellte Artefakte, Protokollierungssysteme und -protokolle, Integrationen von Drittanbietern wie SaaS, Artefakt-Repository und Ihre Container-Registry gelten. Außerdem müssen Sie die Systeme härten, von den Entwickler-Workstations bis zur CI/CD-Pipeline. Stellen Sie sicher, dass Sie auch die Multi-Faktor-Authentifizierung aktivieren und starke Identitäts- und Zugriffsverwaltungsrichtlinien durchsetzen.
Der Schutz vor Fehlern in der Software-Lieferkette ist angesichts unserer stark vernetzten Welt ein vielschichtiges, kontinuierliches Unterfangen. Unternehmen müssen während des gesamten Lebenszyklus ihrer Anwendungen und Komponenten starke Abwehrmaßnahmen ergreifen, um sich gegen diese sich schnell entwickelnde, moderne Bedrohung zu schützen.
Hinweis für SCW Trust Score™-Benutzer:
Da wir die Inhalte unserer Learning Platform aktualisieren, um sie mit dem OWASP Top 10 2025-Standard in Einklang zu bringen, werden Sie möglicherweise geringfügige Anpassungen im Trust Score für Ihre Full Stack-Entwickler feststellen. Bitte wenden Sie sich an Ihren Customer Success-Mitarbeiter, wenn Sie Fragen haben oder Unterstützung benötigen.
Die OWASP Top 10 2025 listet Software Supply Chain Failures auf Platz 3. Entschärfen Sie dieses Risiko durch strenge SBOMs, Verfolgung von Abhängigkeiten und Härtung der CI/CD-Pipeline.
Secure Code Warrior macht sicheres Programmieren zu einer positiven und fesselnden Erfahrung für Entwickler, die ihre Fähigkeiten ausbauen. Wir leiten jeden Programmierer auf seinem bevorzugten Lernpfad an, damit sicherheitskompetente Entwickler zu den täglichen Superhelden unserer vernetzten Welt werden.
Secure Code Warrior ist für Ihr Unternehmen da, um Sie dabei zu unterstützen, Ihren Code über den gesamten Lebenszyklus der Softwareentwicklung hinweg zu sichern und eine Kultur zu schaffen, in der Cybersicherheit an erster Stelle steht. Ganz gleich, ob Sie AppSec-Manager, Entwickler, CISO oder ein anderer Sicherheitsverantwortlicher sind, wir können Ihrem Unternehmen helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.
Demo buchen
Secure Code Warrior macht sicheres Programmieren zu einer positiven und fesselnden Erfahrung für Entwickler, die ihre Fähigkeiten ausbauen. Wir leiten jeden Programmierer auf seinem bevorzugten Lernpfad an, damit sicherheitskompetente Entwickler zu den täglichen Superhelden unserer vernetzten Welt werden.
Dieser Artikel wurde verfasst von Secure Code Warrior Das Team von Branchenexperten hat es sich zur Aufgabe gemacht, Entwicklern das Wissen und die Fähigkeiten zu vermitteln, die sie brauchen, um von Anfang an sichere Software zu entwickeln. Dabei stützen wir uns auf umfassendes Fachwissen zu sicheren Codierungspraktiken, Branchentrends und Erkenntnissen aus der Praxis.
Mit der mit Spannung erwarteten Veröffentlichung der OWASP Top Ten für das Jahr 2025 müssen sich Unternehmen vor einigen neuen Bedrohungen in Acht nehmen, darunter eine, die ganz oben auf der Liste steht. Software Supply Chain Failures", eine neue Kategorie, die aber nicht ganz neu ist, steht auf Platz 3 der alle vier Jahre erscheinenden Liste des Open Web Application Security Project mit den größten Risiken für die Sicherheit von Webanwendungen. Es ist ein Risiko, das Unternehmen sehr ernst nehmen müssen, wenn sie es nicht bereits tun.
Die Kategorie "Software Supply Chain Failures" ist aus der Kategorie " Vulnerable and Outdated Components" (anfällige und veraltete Komponenten) der vorherigen Liste aus dem Jahr 2021 hervorgegangen und umfasst nun ein breiteres Spektrum an Kompromittierungen im gesamten Software-Ökosystem aus Abhängigkeiten, Build-Systemen und Vertriebsinfrastruktur. Die Aufnahme in die Liste dürfte angesichts der Schäden, die durch viel beachtete Angriffe auf die Lieferkette wie SolarWinds im Jahr 2019, den Bybit-Hack Anfang dieses Jahres und die laufende Shai-Hulud-Kampagne, einen besonders fiesen, sich selbst replizierenden npm-Wurm, der in exponierten Entwicklerumgebungen Schaden anrichtet, nicht besonders überraschen.
Die OWASP-Top-Ten-Liste ist in der Regel konstant, wie es sich für eine Liste gehört, die alle vier Jahre erscheint, wenn auch mit Aktualisierungen dazwischen. Gewöhnlich gibt es einige Verschiebungen innerhalb der Liste: Injection, ein langjähriger Bewohner, fällt beispielsweise von Platz 3 auf Platz 5, Insecure Design fällt um zwei Plätze auf Platz 6, während Security Misconfiguration von Platz 5 auf Platz 2 springt. Die unzureichende Zugangskontrolle steht weiterhin an der Spitze. In der Ausgabe 2025 gibt es zwei neue Einträge, die bereits erwähnten Software Supply Chain Failures und Mishandling of Exceptional Conditions, die auf Platz 10 der Liste stehen. Hier werfen wir einen genauen Blick auf den neuen Eintrag zu den Schwachstellen in der Lieferkette.
Schwachstellen können fast überall auftreten
Software Supply Chain Failures ist eine etwas ungewöhnliche Kategorie auf der Liste, da sie unter den 10 Einträgen die wenigsten Vorkommnisse in den OWASP-Forschungsdaten aufweist, aber auch die höchsten durchschnittlichen Exploit- und Auswirkungswerte hat, die aus den fünf Common Weakness Enumerations (CWEs) in der Kategorie resultieren. OWASP vermutet, dass die begrenzte Präsenz dieser Kategorie auf die derzeitigen Schwierigkeiten bei den Tests zurückzuführen ist, die sich mit der Zeit verbessern könnten. Unabhängig davon nannten die Umfrageteilnehmer mit überwältigender Mehrheit Fehler in der Software-Lieferkette als Hauptanliegen.
Die meisten Schwachstellen in der Lieferkette ergeben sich aus der Verflechtung von Geschäftsabläufen, an denen vor- und nachgelagerte Partner und Dritte beteiligt sind. Jede Interaktion beinhaltet Software, deren Komponenten (auch Abhängigkeiten oder Bibliotheken genannt) ungeschützt sein könnten. Ein Unternehmen kann verwundbar sein, wenn es nicht alle Versionen seiner eigenen Komponenten (clientseitig, serverseitig oder verschachtelt) sowie die transitiven Abhängigkeiten (von anderen Bibliotheken) verfolgt, um sicherzustellen, dass sie nicht verwundbar, nicht unterstützt oder veraltet sind. Komponenten haben in der Regel dieselben Berechtigungen wie die Anwendung, so dass kompromittierte Komponenten, auch solche, die von Dritten oder aus Open-Source-Repositories stammen, weitreichende Auswirkungen haben können. Rechtzeitige Patches und Updates sind unerlässlich - selbst regelmäßige monatliche oder vierteljährliche Patch-Pläne können ein Unternehmen für Tage oder Monate ungeschützt lassen.
Ebenso kann das Fehlen eines Änderungsverwaltungsprozesses in der Lieferkette zu Schwachstellen führen, wenn Sie integrierte Entwicklungsumgebungen (IDEs) oder Änderungen an Ihrem Code-Repository, Image- und Bibliotheks-Repositorys oder anderen Teilen der Lieferkette nicht verfolgen. Ein Unternehmen muss die Lieferkette absichern, indem es Zugriffskontrollen und Richtlinien für die geringsten Rechte anwendet und sicherstellt, dass keine Person ohne Aufsicht Code erstellen und in der Produktion einsetzen kann und dass niemand Komponenten aus nicht vertrauenswürdigen Quellen herunterladen kann.
Angriffe auf die Lieferkette können viele Formen annehmen. Der berüchtigte Angriff auf SolarWinds begann, als russische Angreifer Malware in ein Update der beliebten Netzwerkmanagement-Software des Unternehmens einschleusten. Etwa 18.000 Kunden waren davon betroffen. Obwohl die Zahl der tatsächlich betroffenen Unternehmen eher bei 100 lag, befanden sich auf dieser Liste große Unternehmen und Regierungsbehörden. Der 1,5-Milliarden-Dollar-Hack von Bybit, der nach Nordkorea zurückverfolgt wurde, betraf kompromittierte Kryptowährungsanwendungen. Beim jüngsten Angriff auf die Lieferkette durch den Glass Worm handelte es sich um einen unsichtbaren, sich selbst replizierenden Code, der den Open VSX Marketplace infizierte.
Verhinderung von Exploits in der Lieferkette
Da bei Angriffen auf die Lieferkette die Systeme voneinander abhängig sind, ist für die Abwehr ein umfassender Ansatz erforderlich. OWASP gibt Tipps zur Verhinderung von Angriffen, einschließlich der Einrichtung von Patch-Management-Prozessen, um:
- Kennen Sie Ihre Software-Stückliste (SBOM) für die gesamte Software und verwalten Sie die SBOM zentral. Es ist am besten, SBOMs während des Builds und nicht erst später zu generieren, Standardformate wie SPDX oder CycloneDX zu verwenden und mindestens eine maschinenlesbare SBOM pro Release zu veröffentlichen.
- Verfolgen Sie alle Ihre Abhängigkeiten, einschließlich transitiver Abhängigkeiten, und entfernen Sie ungenutzte Abhängigkeiten sowie unnötige Funktionen, Komponenten, Dateien und Dokumentationen.
- Führen Sie mithilfe von Tools wie OWASP Dependency Check oder retire.js eine kontinuierliche Inventarisierung sowohl der client- als auch der serverseitigen Komponenten und ihrer Abhängigkeiten durch.
- Halten Sie sich über Schwachstellen auf dem Laufenden, indem Sie Quellen wie die Common Vulnerabilities and Exposures (CVE)-Website und die National Vulnerability Database (NVD) kontinuierlich überwachen und E-Mail-Benachrichtigungen über Sicherheitslücken in Bezug auf die von Ihnen verwendeten Komponenten abonnieren.
- Verwenden Sie nur Komponenten, die von vertrauenswürdigen Quellen über sichere Verbindungen bezogen werden. Ein vertrauenswürdiger Anbieter wäre beispielsweise bereit, mit einem Forscher zusammenzuarbeiten, um ein CVE offenzulegen, das der Forscher in einer Komponente entdeckt hat.
- Wählen Sie bewusst die Version einer Abhängigkeit aus, die Sie verwenden wollen, und aktualisieren Sie nur, wenn Sie es müssen. Arbeiten Sie mit Bibliotheken von Drittanbietern, deren Sicherheitslücken in einer bekannten Quelle wie NVD veröffentlicht wurden.
- Überwachen Sie auf nicht gewartete oder nicht unterstützte Bibliotheken und Komponenten. Wenn ein Patching nicht möglich ist, erwägen Sie die Bereitstellung eines virtuellen Patches zur Überwachung, Erkennung oder zum Schutz vor dem entdeckten Problem.
- Regelmäßige Aktualisierung der Entwicklerwerkzeuge.
- Behandeln Sie die Komponenten in Ihrer CI/CD-Pipeline als Teil dieses Prozesses, indem Sie sie härten und überwachen und gleichzeitig die Änderungen dokumentieren.
Das Änderungsmanagement oder ein Nachverfolgungsprozess sollte auch für Ihre CI/CD-Einstellungen, Code-Repositories, Sandboxes, integrierte Entwicklerumgebungen (IDEs), SBOM-Tools, erstellte Artefakte, Protokollierungssysteme und -protokolle, Integrationen von Drittanbietern wie SaaS, Artefakt-Repository und Ihre Container-Registry gelten. Außerdem müssen Sie die Systeme härten, von den Entwickler-Workstations bis zur CI/CD-Pipeline. Stellen Sie sicher, dass Sie auch die Multi-Faktor-Authentifizierung aktivieren und starke Identitäts- und Zugriffsverwaltungsrichtlinien durchsetzen.
Der Schutz vor Fehlern in der Software-Lieferkette ist angesichts unserer stark vernetzten Welt ein vielschichtiges, kontinuierliches Unterfangen. Unternehmen müssen während des gesamten Lebenszyklus ihrer Anwendungen und Komponenten starke Abwehrmaßnahmen ergreifen, um sich gegen diese sich schnell entwickelnde, moderne Bedrohung zu schützen.
Hinweis für SCW Trust Score™-Benutzer:
Da wir die Inhalte unserer Learning Platform aktualisieren, um sie mit dem OWASP Top 10 2025-Standard in Einklang zu bringen, werden Sie möglicherweise geringfügige Anpassungen im Trust Score für Ihre Full Stack-Entwickler feststellen. Bitte wenden Sie sich an Ihren Customer Success-Mitarbeiter, wenn Sie Fragen haben oder Unterstützung benötigen.
Mit der mit Spannung erwarteten Veröffentlichung der OWASP Top Ten für das Jahr 2025 müssen sich Unternehmen vor einigen neuen Bedrohungen in Acht nehmen, darunter eine, die ganz oben auf der Liste steht. Software Supply Chain Failures", eine neue Kategorie, die aber nicht ganz neu ist, steht auf Platz 3 der alle vier Jahre erscheinenden Liste des Open Web Application Security Project mit den größten Risiken für die Sicherheit von Webanwendungen. Es ist ein Risiko, das Unternehmen sehr ernst nehmen müssen, wenn sie es nicht bereits tun.
Die Kategorie "Software Supply Chain Failures" ist aus der Kategorie " Vulnerable and Outdated Components" (anfällige und veraltete Komponenten) der vorherigen Liste aus dem Jahr 2021 hervorgegangen und umfasst nun ein breiteres Spektrum an Kompromittierungen im gesamten Software-Ökosystem aus Abhängigkeiten, Build-Systemen und Vertriebsinfrastruktur. Die Aufnahme in die Liste dürfte angesichts der Schäden, die durch viel beachtete Angriffe auf die Lieferkette wie SolarWinds im Jahr 2019, den Bybit-Hack Anfang dieses Jahres und die laufende Shai-Hulud-Kampagne, einen besonders fiesen, sich selbst replizierenden npm-Wurm, der in exponierten Entwicklerumgebungen Schaden anrichtet, nicht besonders überraschen.
Die OWASP-Top-Ten-Liste ist in der Regel konstant, wie es sich für eine Liste gehört, die alle vier Jahre erscheint, wenn auch mit Aktualisierungen dazwischen. Gewöhnlich gibt es einige Verschiebungen innerhalb der Liste: Injection, ein langjähriger Bewohner, fällt beispielsweise von Platz 3 auf Platz 5, Insecure Design fällt um zwei Plätze auf Platz 6, während Security Misconfiguration von Platz 5 auf Platz 2 springt. Die unzureichende Zugangskontrolle steht weiterhin an der Spitze. In der Ausgabe 2025 gibt es zwei neue Einträge, die bereits erwähnten Software Supply Chain Failures und Mishandling of Exceptional Conditions, die auf Platz 10 der Liste stehen. Hier werfen wir einen genauen Blick auf den neuen Eintrag zu den Schwachstellen in der Lieferkette.
Schwachstellen können fast überall auftreten
Software Supply Chain Failures ist eine etwas ungewöhnliche Kategorie auf der Liste, da sie unter den 10 Einträgen die wenigsten Vorkommnisse in den OWASP-Forschungsdaten aufweist, aber auch die höchsten durchschnittlichen Exploit- und Auswirkungswerte hat, die aus den fünf Common Weakness Enumerations (CWEs) in der Kategorie resultieren. OWASP vermutet, dass die begrenzte Präsenz dieser Kategorie auf die derzeitigen Schwierigkeiten bei den Tests zurückzuführen ist, die sich mit der Zeit verbessern könnten. Unabhängig davon nannten die Umfrageteilnehmer mit überwältigender Mehrheit Fehler in der Software-Lieferkette als Hauptanliegen.
Die meisten Schwachstellen in der Lieferkette ergeben sich aus der Verflechtung von Geschäftsabläufen, an denen vor- und nachgelagerte Partner und Dritte beteiligt sind. Jede Interaktion beinhaltet Software, deren Komponenten (auch Abhängigkeiten oder Bibliotheken genannt) ungeschützt sein könnten. Ein Unternehmen kann verwundbar sein, wenn es nicht alle Versionen seiner eigenen Komponenten (clientseitig, serverseitig oder verschachtelt) sowie die transitiven Abhängigkeiten (von anderen Bibliotheken) verfolgt, um sicherzustellen, dass sie nicht verwundbar, nicht unterstützt oder veraltet sind. Komponenten haben in der Regel dieselben Berechtigungen wie die Anwendung, so dass kompromittierte Komponenten, auch solche, die von Dritten oder aus Open-Source-Repositories stammen, weitreichende Auswirkungen haben können. Rechtzeitige Patches und Updates sind unerlässlich - selbst regelmäßige monatliche oder vierteljährliche Patch-Pläne können ein Unternehmen für Tage oder Monate ungeschützt lassen.
Ebenso kann das Fehlen eines Änderungsverwaltungsprozesses in der Lieferkette zu Schwachstellen führen, wenn Sie integrierte Entwicklungsumgebungen (IDEs) oder Änderungen an Ihrem Code-Repository, Image- und Bibliotheks-Repositorys oder anderen Teilen der Lieferkette nicht verfolgen. Ein Unternehmen muss die Lieferkette absichern, indem es Zugriffskontrollen und Richtlinien für die geringsten Rechte anwendet und sicherstellt, dass keine Person ohne Aufsicht Code erstellen und in der Produktion einsetzen kann und dass niemand Komponenten aus nicht vertrauenswürdigen Quellen herunterladen kann.
Angriffe auf die Lieferkette können viele Formen annehmen. Der berüchtigte Angriff auf SolarWinds begann, als russische Angreifer Malware in ein Update der beliebten Netzwerkmanagement-Software des Unternehmens einschleusten. Etwa 18.000 Kunden waren davon betroffen. Obwohl die Zahl der tatsächlich betroffenen Unternehmen eher bei 100 lag, befanden sich auf dieser Liste große Unternehmen und Regierungsbehörden. Der 1,5-Milliarden-Dollar-Hack von Bybit, der nach Nordkorea zurückverfolgt wurde, betraf kompromittierte Kryptowährungsanwendungen. Beim jüngsten Angriff auf die Lieferkette durch den Glass Worm handelte es sich um einen unsichtbaren, sich selbst replizierenden Code, der den Open VSX Marketplace infizierte.
Verhinderung von Exploits in der Lieferkette
Da bei Angriffen auf die Lieferkette die Systeme voneinander abhängig sind, ist für die Abwehr ein umfassender Ansatz erforderlich. OWASP gibt Tipps zur Verhinderung von Angriffen, einschließlich der Einrichtung von Patch-Management-Prozessen, um:
- Kennen Sie Ihre Software-Stückliste (SBOM) für die gesamte Software und verwalten Sie die SBOM zentral. Es ist am besten, SBOMs während des Builds und nicht erst später zu generieren, Standardformate wie SPDX oder CycloneDX zu verwenden und mindestens eine maschinenlesbare SBOM pro Release zu veröffentlichen.
- Verfolgen Sie alle Ihre Abhängigkeiten, einschließlich transitiver Abhängigkeiten, und entfernen Sie ungenutzte Abhängigkeiten sowie unnötige Funktionen, Komponenten, Dateien und Dokumentationen.
- Führen Sie mithilfe von Tools wie OWASP Dependency Check oder retire.js eine kontinuierliche Inventarisierung sowohl der client- als auch der serverseitigen Komponenten und ihrer Abhängigkeiten durch.
- Halten Sie sich über Schwachstellen auf dem Laufenden, indem Sie Quellen wie die Common Vulnerabilities and Exposures (CVE)-Website und die National Vulnerability Database (NVD) kontinuierlich überwachen und E-Mail-Benachrichtigungen über Sicherheitslücken in Bezug auf die von Ihnen verwendeten Komponenten abonnieren.
- Verwenden Sie nur Komponenten, die von vertrauenswürdigen Quellen über sichere Verbindungen bezogen werden. Ein vertrauenswürdiger Anbieter wäre beispielsweise bereit, mit einem Forscher zusammenzuarbeiten, um ein CVE offenzulegen, das der Forscher in einer Komponente entdeckt hat.
- Wählen Sie bewusst die Version einer Abhängigkeit aus, die Sie verwenden wollen, und aktualisieren Sie nur, wenn Sie es müssen. Arbeiten Sie mit Bibliotheken von Drittanbietern, deren Sicherheitslücken in einer bekannten Quelle wie NVD veröffentlicht wurden.
- Überwachen Sie auf nicht gewartete oder nicht unterstützte Bibliotheken und Komponenten. Wenn ein Patching nicht möglich ist, erwägen Sie die Bereitstellung eines virtuellen Patches zur Überwachung, Erkennung oder zum Schutz vor dem entdeckten Problem.
- Regelmäßige Aktualisierung der Entwicklerwerkzeuge.
- Behandeln Sie die Komponenten in Ihrer CI/CD-Pipeline als Teil dieses Prozesses, indem Sie sie härten und überwachen und gleichzeitig die Änderungen dokumentieren.
Das Änderungsmanagement oder ein Nachverfolgungsprozess sollte auch für Ihre CI/CD-Einstellungen, Code-Repositories, Sandboxes, integrierte Entwicklerumgebungen (IDEs), SBOM-Tools, erstellte Artefakte, Protokollierungssysteme und -protokolle, Integrationen von Drittanbietern wie SaaS, Artefakt-Repository und Ihre Container-Registry gelten. Außerdem müssen Sie die Systeme härten, von den Entwickler-Workstations bis zur CI/CD-Pipeline. Stellen Sie sicher, dass Sie auch die Multi-Faktor-Authentifizierung aktivieren und starke Identitäts- und Zugriffsverwaltungsrichtlinien durchsetzen.
Der Schutz vor Fehlern in der Software-Lieferkette ist angesichts unserer stark vernetzten Welt ein vielschichtiges, kontinuierliches Unterfangen. Unternehmen müssen während des gesamten Lebenszyklus ihrer Anwendungen und Komponenten starke Abwehrmaßnahmen ergreifen, um sich gegen diese sich schnell entwickelnde, moderne Bedrohung zu schützen.
Hinweis für SCW Trust Score™-Benutzer:
Da wir die Inhalte unserer Learning Platform aktualisieren, um sie mit dem OWASP Top 10 2025-Standard in Einklang zu bringen, werden Sie möglicherweise geringfügige Anpassungen im Trust Score für Ihre Full Stack-Entwickler feststellen. Bitte wenden Sie sich an Ihren Customer Success-Mitarbeiter, wenn Sie Fragen haben oder Unterstützung benötigen.
Klicken Sie auf den unten stehenden Link und laden Sie die PDF-Datei dieser Ressource herunter.
Secure Code Warrior ist für Ihr Unternehmen da, um Sie dabei zu unterstützen, Ihren Code über den gesamten Lebenszyklus der Softwareentwicklung hinweg zu sichern und eine Kultur zu schaffen, in der Cybersicherheit an erster Stelle steht. Ganz gleich, ob Sie AppSec-Manager, Entwickler, CISO oder ein anderer Sicherheitsverantwortlicher sind, wir können Ihrem Unternehmen helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.
Bericht ansehenDemo buchen
Secure Code Warrior macht sicheres Programmieren zu einer positiven und fesselnden Erfahrung für Entwickler, die ihre Fähigkeiten ausbauen. Wir leiten jeden Programmierer auf seinem bevorzugten Lernpfad an, damit sicherheitskompetente Entwickler zu den täglichen Superhelden unserer vernetzten Welt werden.
Dieser Artikel wurde verfasst von Secure Code Warrior Das Team von Branchenexperten hat es sich zur Aufgabe gemacht, Entwicklern das Wissen und die Fähigkeiten zu vermitteln, die sie brauchen, um von Anfang an sichere Software zu entwickeln. Dabei stützen wir uns auf umfassendes Fachwissen zu sicheren Codierungspraktiken, Branchentrends und Erkenntnissen aus der Praxis.
Mit der mit Spannung erwarteten Veröffentlichung der OWASP Top Ten für das Jahr 2025 müssen sich Unternehmen vor einigen neuen Bedrohungen in Acht nehmen, darunter eine, die ganz oben auf der Liste steht. Software Supply Chain Failures", eine neue Kategorie, die aber nicht ganz neu ist, steht auf Platz 3 der alle vier Jahre erscheinenden Liste des Open Web Application Security Project mit den größten Risiken für die Sicherheit von Webanwendungen. Es ist ein Risiko, das Unternehmen sehr ernst nehmen müssen, wenn sie es nicht bereits tun.
Die Kategorie "Software Supply Chain Failures" ist aus der Kategorie " Vulnerable and Outdated Components" (anfällige und veraltete Komponenten) der vorherigen Liste aus dem Jahr 2021 hervorgegangen und umfasst nun ein breiteres Spektrum an Kompromittierungen im gesamten Software-Ökosystem aus Abhängigkeiten, Build-Systemen und Vertriebsinfrastruktur. Die Aufnahme in die Liste dürfte angesichts der Schäden, die durch viel beachtete Angriffe auf die Lieferkette wie SolarWinds im Jahr 2019, den Bybit-Hack Anfang dieses Jahres und die laufende Shai-Hulud-Kampagne, einen besonders fiesen, sich selbst replizierenden npm-Wurm, der in exponierten Entwicklerumgebungen Schaden anrichtet, nicht besonders überraschen.
Die OWASP-Top-Ten-Liste ist in der Regel konstant, wie es sich für eine Liste gehört, die alle vier Jahre erscheint, wenn auch mit Aktualisierungen dazwischen. Gewöhnlich gibt es einige Verschiebungen innerhalb der Liste: Injection, ein langjähriger Bewohner, fällt beispielsweise von Platz 3 auf Platz 5, Insecure Design fällt um zwei Plätze auf Platz 6, während Security Misconfiguration von Platz 5 auf Platz 2 springt. Die unzureichende Zugangskontrolle steht weiterhin an der Spitze. In der Ausgabe 2025 gibt es zwei neue Einträge, die bereits erwähnten Software Supply Chain Failures und Mishandling of Exceptional Conditions, die auf Platz 10 der Liste stehen. Hier werfen wir einen genauen Blick auf den neuen Eintrag zu den Schwachstellen in der Lieferkette.
Schwachstellen können fast überall auftreten
Software Supply Chain Failures ist eine etwas ungewöhnliche Kategorie auf der Liste, da sie unter den 10 Einträgen die wenigsten Vorkommnisse in den OWASP-Forschungsdaten aufweist, aber auch die höchsten durchschnittlichen Exploit- und Auswirkungswerte hat, die aus den fünf Common Weakness Enumerations (CWEs) in der Kategorie resultieren. OWASP vermutet, dass die begrenzte Präsenz dieser Kategorie auf die derzeitigen Schwierigkeiten bei den Tests zurückzuführen ist, die sich mit der Zeit verbessern könnten. Unabhängig davon nannten die Umfrageteilnehmer mit überwältigender Mehrheit Fehler in der Software-Lieferkette als Hauptanliegen.
Die meisten Schwachstellen in der Lieferkette ergeben sich aus der Verflechtung von Geschäftsabläufen, an denen vor- und nachgelagerte Partner und Dritte beteiligt sind. Jede Interaktion beinhaltet Software, deren Komponenten (auch Abhängigkeiten oder Bibliotheken genannt) ungeschützt sein könnten. Ein Unternehmen kann verwundbar sein, wenn es nicht alle Versionen seiner eigenen Komponenten (clientseitig, serverseitig oder verschachtelt) sowie die transitiven Abhängigkeiten (von anderen Bibliotheken) verfolgt, um sicherzustellen, dass sie nicht verwundbar, nicht unterstützt oder veraltet sind. Komponenten haben in der Regel dieselben Berechtigungen wie die Anwendung, so dass kompromittierte Komponenten, auch solche, die von Dritten oder aus Open-Source-Repositories stammen, weitreichende Auswirkungen haben können. Rechtzeitige Patches und Updates sind unerlässlich - selbst regelmäßige monatliche oder vierteljährliche Patch-Pläne können ein Unternehmen für Tage oder Monate ungeschützt lassen.
Ebenso kann das Fehlen eines Änderungsverwaltungsprozesses in der Lieferkette zu Schwachstellen führen, wenn Sie integrierte Entwicklungsumgebungen (IDEs) oder Änderungen an Ihrem Code-Repository, Image- und Bibliotheks-Repositorys oder anderen Teilen der Lieferkette nicht verfolgen. Ein Unternehmen muss die Lieferkette absichern, indem es Zugriffskontrollen und Richtlinien für die geringsten Rechte anwendet und sicherstellt, dass keine Person ohne Aufsicht Code erstellen und in der Produktion einsetzen kann und dass niemand Komponenten aus nicht vertrauenswürdigen Quellen herunterladen kann.
Angriffe auf die Lieferkette können viele Formen annehmen. Der berüchtigte Angriff auf SolarWinds begann, als russische Angreifer Malware in ein Update der beliebten Netzwerkmanagement-Software des Unternehmens einschleusten. Etwa 18.000 Kunden waren davon betroffen. Obwohl die Zahl der tatsächlich betroffenen Unternehmen eher bei 100 lag, befanden sich auf dieser Liste große Unternehmen und Regierungsbehörden. Der 1,5-Milliarden-Dollar-Hack von Bybit, der nach Nordkorea zurückverfolgt wurde, betraf kompromittierte Kryptowährungsanwendungen. Beim jüngsten Angriff auf die Lieferkette durch den Glass Worm handelte es sich um einen unsichtbaren, sich selbst replizierenden Code, der den Open VSX Marketplace infizierte.
Verhinderung von Exploits in der Lieferkette
Da bei Angriffen auf die Lieferkette die Systeme voneinander abhängig sind, ist für die Abwehr ein umfassender Ansatz erforderlich. OWASP gibt Tipps zur Verhinderung von Angriffen, einschließlich der Einrichtung von Patch-Management-Prozessen, um:
- Kennen Sie Ihre Software-Stückliste (SBOM) für die gesamte Software und verwalten Sie die SBOM zentral. Es ist am besten, SBOMs während des Builds und nicht erst später zu generieren, Standardformate wie SPDX oder CycloneDX zu verwenden und mindestens eine maschinenlesbare SBOM pro Release zu veröffentlichen.
- Verfolgen Sie alle Ihre Abhängigkeiten, einschließlich transitiver Abhängigkeiten, und entfernen Sie ungenutzte Abhängigkeiten sowie unnötige Funktionen, Komponenten, Dateien und Dokumentationen.
- Führen Sie mithilfe von Tools wie OWASP Dependency Check oder retire.js eine kontinuierliche Inventarisierung sowohl der client- als auch der serverseitigen Komponenten und ihrer Abhängigkeiten durch.
- Halten Sie sich über Schwachstellen auf dem Laufenden, indem Sie Quellen wie die Common Vulnerabilities and Exposures (CVE)-Website und die National Vulnerability Database (NVD) kontinuierlich überwachen und E-Mail-Benachrichtigungen über Sicherheitslücken in Bezug auf die von Ihnen verwendeten Komponenten abonnieren.
- Verwenden Sie nur Komponenten, die von vertrauenswürdigen Quellen über sichere Verbindungen bezogen werden. Ein vertrauenswürdiger Anbieter wäre beispielsweise bereit, mit einem Forscher zusammenzuarbeiten, um ein CVE offenzulegen, das der Forscher in einer Komponente entdeckt hat.
- Wählen Sie bewusst die Version einer Abhängigkeit aus, die Sie verwenden wollen, und aktualisieren Sie nur, wenn Sie es müssen. Arbeiten Sie mit Bibliotheken von Drittanbietern, deren Sicherheitslücken in einer bekannten Quelle wie NVD veröffentlicht wurden.
- Überwachen Sie auf nicht gewartete oder nicht unterstützte Bibliotheken und Komponenten. Wenn ein Patching nicht möglich ist, erwägen Sie die Bereitstellung eines virtuellen Patches zur Überwachung, Erkennung oder zum Schutz vor dem entdeckten Problem.
- Regelmäßige Aktualisierung der Entwicklerwerkzeuge.
- Behandeln Sie die Komponenten in Ihrer CI/CD-Pipeline als Teil dieses Prozesses, indem Sie sie härten und überwachen und gleichzeitig die Änderungen dokumentieren.
Das Änderungsmanagement oder ein Nachverfolgungsprozess sollte auch für Ihre CI/CD-Einstellungen, Code-Repositories, Sandboxes, integrierte Entwicklerumgebungen (IDEs), SBOM-Tools, erstellte Artefakte, Protokollierungssysteme und -protokolle, Integrationen von Drittanbietern wie SaaS, Artefakt-Repository und Ihre Container-Registry gelten. Außerdem müssen Sie die Systeme härten, von den Entwickler-Workstations bis zur CI/CD-Pipeline. Stellen Sie sicher, dass Sie auch die Multi-Faktor-Authentifizierung aktivieren und starke Identitäts- und Zugriffsverwaltungsrichtlinien durchsetzen.
Der Schutz vor Fehlern in der Software-Lieferkette ist angesichts unserer stark vernetzten Welt ein vielschichtiges, kontinuierliches Unterfangen. Unternehmen müssen während des gesamten Lebenszyklus ihrer Anwendungen und Komponenten starke Abwehrmaßnahmen ergreifen, um sich gegen diese sich schnell entwickelnde, moderne Bedrohung zu schützen.
Hinweis für SCW Trust Score™-Benutzer:
Da wir die Inhalte unserer Learning Platform aktualisieren, um sie mit dem OWASP Top 10 2025-Standard in Einklang zu bringen, werden Sie möglicherweise geringfügige Anpassungen im Trust Score für Ihre Full Stack-Entwickler feststellen. Bitte wenden Sie sich an Ihren Customer Success-Mitarbeiter, wenn Sie Fragen haben oder Unterstützung benötigen.
Inhaltsübersicht
Secure Code Warrior macht sicheres Programmieren zu einer positiven und fesselnden Erfahrung für Entwickler, die ihre Fähigkeiten ausbauen. Wir leiten jeden Programmierer auf seinem bevorzugten Lernpfad an, damit sicherheitskompetente Entwickler zu den täglichen Superhelden unserer vernetzten Welt werden.
Secure Code Warrior ist für Ihr Unternehmen da, um Sie dabei zu unterstützen, Ihren Code über den gesamten Lebenszyklus der Softwareentwicklung hinweg zu sichern und eine Kultur zu schaffen, in der Cybersicherheit an erster Stelle steht. Ganz gleich, ob Sie AppSec-Manager, Entwickler, CISO oder ein anderer Sicherheitsverantwortlicher sind, wir können Ihrem Unternehmen helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.
Demo buchenHerunterladenRessourcen für den Einstieg
Bedrohungsmodellierung mit KI: So wird jeder Entwickler zum Bedrohungsmodellierer
Sie werden besser gerüstet sein, um Entwicklern dabei zu helfen, Ideen und Techniken zur Bedrohungsmodellierung mit den KI-Tools zu kombinieren, die sie bereits verwenden, um die Sicherheit zu erhöhen, die Zusammenarbeit zu verbessern und von Anfang an widerstandsfähigere Software zu entwickeln.
.png)
.png)
Die Macht der Marke in AppSec DevSec DevSecOps (Was steckt in einem Akronym!?)
Für eine dauerhafte Wirkung von AppSec-Programmen braucht es mehr als nur Technik - es braucht eine starke Marke. Eine starke Identität stellt sicher, dass Ihre Initiativen auf Resonanz stoßen und ein nachhaltiges Engagement innerhalb Ihrer Entwicklergemeinschaft fördern.
Ressourcen für den Einstieg
Neue Risikokategorie in den OWASP Top Ten: Erwarten Sie das Unerwartete
Die OWASP Top 10 2025 fügt die Fehlbehandlung von Ausnahmebedingungen auf Platz 10 hinzu. Reduzieren Sie die Risiken durch eine "fail closed"-Logik, globale Fehlerbehandlungsprogramme und eine strenge Eingabevalidierung.
.png)
OWASP Top 10: 2025 - Was gibt es Neues und wie Secure Code Warrior Ihnen hilft, auf dem Laufenden zu bleiben
Entdecken Sie, was sich in den OWASP Top 10 geändert hat: 2025 und wie Secure Code Warrior den Übergang mit aktualisierten Quests, Courses und Einblicken für Entwickler erleichtert.
Agenten-KI in der Software-Entwicklung SCHNELL einführen! (Spoiler: Wahrscheinlich sollten Sie es nicht tun.)
Arbeitet die Cybersicherheitswelt zu schnell an agentenbasierter KI? Die Zukunft der KI-Sicherheit ist da, und es ist an der Zeit, dass Experten von ihren Überlegungen zur Realität übergehen.
Lösung der Sichtbarkeitskrise: Wie der Vertrauensagent die Kluft zwischen Lernen und Code überbrückt
Trust Agent von Secure Code Warrior löst die Krise der sicheren Kodierung, indem es die Fähigkeiten der Entwickler bei jeder Übertragung überprüft. Er erkennt alle Mitwirkenden und automatisiert die Governance in Ihrem Entwicklungs-Workflow.
Entwicklergesteuerte Kodierung.
Sicher ist sicher.
Setzen Sie sich noch heute mit uns in Verbindung und machen Sie Softwaresicherheit zu einem festen Bestandteil Ihres Entwicklungsprozesses.
