Top 10 2025 der OWASP: Schwachstellen in der Software-Lieferkette
Mit der mit Spannung erwarteten Veröffentlichung der OWASP Top Ten für das Jahr 2025 müssen sich Unternehmen vor einigen neuen Bedrohungen in Acht nehmen, darunter eine, die ganz oben auf der Liste steht. Software Supply Chain Failures", eine neue Kategorie, die aber nicht ganz neu ist, steht auf Platz 3 der alle vier Jahre erscheinenden Liste des Open Web Application Security Project mit den größten Risiken für die Sicherheit von Webanwendungen. Es ist ein Risiko, das Unternehmen sehr ernst nehmen müssen, wenn sie es nicht bereits tun.
Die Kategorie "Software Supply Chain Failures" ist aus der Kategorie " Vulnerable and Outdated Components" (anfällige und veraltete Komponenten) der vorherigen Liste aus dem Jahr 2021 hervorgegangen und umfasst nun ein breiteres Spektrum an Kompromittierungen im gesamten Software-Ökosystem aus Abhängigkeiten, Build-Systemen und Vertriebsinfrastruktur. Die Aufnahme in die Liste dürfte angesichts der Schäden, die durch viel beachtete Angriffe auf die Lieferkette wie SolarWinds im Jahr 2019, den Bybit-Hack Anfang dieses Jahres und die laufende Shai-Hulud-Kampagne, einen besonders fiesen, sich selbst replizierenden npm-Wurm, der in exponierten Entwicklerumgebungen Schaden anrichtet, nicht besonders überraschen.
Die OWASP-Top-Ten-Liste ist in der Regel konstant, wie es sich für eine Liste gehört, die alle vier Jahre erscheint, wenn auch mit Aktualisierungen dazwischen. Gewöhnlich gibt es einige Verschiebungen innerhalb der Liste: Injection, ein langjähriger Bewohner, fällt beispielsweise von Platz 3 auf Platz 5, Insecure Design fällt um zwei Plätze auf Platz 6, während Security Misconfiguration von Platz 5 auf Platz 2 springt. Die unzureichende Zugangskontrolle steht weiterhin an der Spitze. In der Ausgabe 2025 gibt es zwei neue Einträge, die bereits erwähnten Software Supply Chain Failures und Mishandling of Exceptional Conditions, die auf Platz 10 der Liste stehen. Hier werfen wir einen genauen Blick auf den neuen Eintrag zu den Schwachstellen in der Lieferkette.
Schwachstellen können fast überall auftreten
Software Supply Chain Failures ist eine etwas ungewöhnliche Kategorie auf der Liste, da sie unter den 10 Einträgen die wenigsten Vorkommnisse in den OWASP-Forschungsdaten aufweist, aber auch die höchsten durchschnittlichen Exploit- und Auswirkungswerte hat, die aus den fünf Common Weakness Enumerations (CWEs) in der Kategorie resultieren. OWASP vermutet, dass die begrenzte Präsenz dieser Kategorie auf die derzeitigen Schwierigkeiten bei den Tests zurückzuführen ist, die sich mit der Zeit verbessern könnten. Unabhängig davon nannten die Umfrageteilnehmer mit überwältigender Mehrheit Fehler in der Software-Lieferkette als Hauptanliegen.
Die meisten Schwachstellen in der Lieferkette ergeben sich aus der Verflechtung von Geschäftsabläufen, an denen vor- und nachgelagerte Partner und Dritte beteiligt sind. Jede Interaktion beinhaltet Software, deren Komponenten (auch Abhängigkeiten oder Bibliotheken genannt) ungeschützt sein könnten. Ein Unternehmen kann verwundbar sein, wenn es nicht alle Versionen seiner eigenen Komponenten (clientseitig, serverseitig oder verschachtelt) sowie die transitiven Abhängigkeiten (von anderen Bibliotheken) verfolgt, um sicherzustellen, dass sie nicht verwundbar, nicht unterstützt oder veraltet sind. Komponenten haben in der Regel dieselben Berechtigungen wie die Anwendung, so dass kompromittierte Komponenten, auch solche, die von Dritten oder aus Open-Source-Repositories stammen, weitreichende Auswirkungen haben können. Rechtzeitige Patches und Updates sind unerlässlich - selbst regelmäßige monatliche oder vierteljährliche Patch-Pläne können ein Unternehmen für Tage oder Monate ungeschützt lassen.
Ebenso kann das Fehlen eines Änderungsverwaltungsprozesses in der Lieferkette zu Schwachstellen führen, wenn Sie integrierte Entwicklungsumgebungen (IDEs) oder Änderungen an Ihrem Code-Repository, Image- und Bibliotheks-Repositorys oder anderen Teilen der Lieferkette nicht verfolgen. Ein Unternehmen muss die Lieferkette absichern, indem es Zugriffskontrollen und Richtlinien für die geringsten Rechte anwendet und sicherstellt, dass keine Person ohne Aufsicht Code erstellen und in der Produktion einsetzen kann und dass niemand Komponenten aus nicht vertrauenswürdigen Quellen herunterladen kann.
Angriffe auf die Lieferkette können viele Formen annehmen. Der berüchtigte Angriff auf SolarWinds begann, als russische Angreifer Malware in ein Update der beliebten Netzwerkmanagement-Software des Unternehmens einschleusten. Etwa 18.000 Kunden waren davon betroffen. Obwohl die Zahl der tatsächlich betroffenen Unternehmen eher bei 100 lag, befanden sich auf dieser Liste große Unternehmen und Regierungsbehörden. Der 1,5-Milliarden-Dollar-Hack von Bybit, der nach Nordkorea zurückverfolgt wurde, betraf kompromittierte Kryptowährungsanwendungen. Beim jüngsten Angriff auf die Lieferkette durch den Glass Worm handelte es sich um einen unsichtbaren, sich selbst replizierenden Code, der den Open VSX Marketplace infizierte.
Verhinderung von Exploits in der Lieferkette
Da bei Angriffen auf die Lieferkette die Systeme voneinander abhängig sind, ist für die Abwehr ein umfassender Ansatz erforderlich. OWASP gibt Tipps zur Verhinderung von Angriffen, einschließlich der Einrichtung von Patch-Management-Prozessen, um:
- Kennen Sie Ihre Software-Stückliste (SBOM) für die gesamte Software und verwalten Sie die SBOM zentral. Es ist am besten, SBOMs während des Builds und nicht erst später zu generieren, Standardformate wie SPDX oder CycloneDX zu verwenden und mindestens eine maschinenlesbare SBOM pro Release zu veröffentlichen.
- Verfolgen Sie alle Ihre Abhängigkeiten, einschließlich transitiver Abhängigkeiten, und entfernen Sie ungenutzte Abhängigkeiten sowie unnötige Funktionen, Komponenten, Dateien und Dokumentationen.
- Führen Sie mithilfe von Tools wie OWASP Dependency Check oder retire.js eine kontinuierliche Inventarisierung sowohl der client- als auch der serverseitigen Komponenten und ihrer Abhängigkeiten durch.
- Halten Sie sich über Schwachstellen auf dem Laufenden, indem Sie Quellen wie die Common Vulnerabilities and Exposures (CVE)-Website und die National Vulnerability Database (NVD) kontinuierlich überwachen und E-Mail-Benachrichtigungen über Sicherheitslücken in Bezug auf die von Ihnen verwendeten Komponenten abonnieren.
- Verwenden Sie nur Komponenten, die von vertrauenswürdigen Quellen über sichere Verbindungen bezogen werden. Ein vertrauenswürdiger Anbieter wäre beispielsweise bereit, mit einem Forscher zusammenzuarbeiten, um ein CVE offenzulegen, das der Forscher in einer Komponente entdeckt hat.
- Wählen Sie bewusst die Version einer Abhängigkeit aus, die Sie verwenden wollen, und aktualisieren Sie nur, wenn Sie es müssen. Arbeiten Sie mit Bibliotheken von Drittanbietern, deren Sicherheitslücken in einer bekannten Quelle wie NVD veröffentlicht wurden.
- Überwachen Sie auf nicht gewartete oder nicht unterstützte Bibliotheken und Komponenten. Wenn ein Patching nicht möglich ist, erwägen Sie die Bereitstellung eines virtuellen Patches zur Überwachung, Erkennung oder zum Schutz vor dem entdeckten Problem.
- Regelmäßige Aktualisierung der Entwicklerwerkzeuge.
- Behandeln Sie die Komponenten in Ihrer CI/CD-Pipeline als Teil dieses Prozesses, indem Sie sie härten und überwachen und gleichzeitig die Änderungen dokumentieren.
Das Änderungsmanagement oder ein Nachverfolgungsprozess sollte auch für Ihre CI/CD-Einstellungen, Code-Repositories, Sandboxes, integrierte Entwicklerumgebungen (IDEs), SBOM-Tools, erstellte Artefakte, Protokollierungssysteme und -protokolle, Integrationen von Drittanbietern wie SaaS, Artefakt-Repository und Ihre Container-Registry gelten. Außerdem müssen Sie die Systeme härten, von den Entwickler-Workstations bis zur CI/CD-Pipeline. Stellen Sie sicher, dass Sie auch die Multi-Faktor-Authentifizierung aktivieren und starke Identitäts- und Zugriffsverwaltungsrichtlinien durchsetzen.
Der Schutz vor Fehlern in der Software-Lieferkette ist angesichts unserer stark vernetzten Welt ein vielschichtiges, kontinuierliches Unterfangen. Unternehmen müssen während des gesamten Lebenszyklus ihrer Anwendungen und Komponenten starke Abwehrmaßnahmen ergreifen, um sich gegen diese sich schnell entwickelnde, moderne Bedrohung zu schützen.
Hinweis für SCW Trust Score™-Benutzer:
Da wir die Inhalte unserer Learning Platform aktualisieren, um sie mit dem OWASP Top 10 2025-Standard in Einklang zu bringen, werden Sie möglicherweise geringfügige Anpassungen im Trust Score für Ihre Full Stack-Entwickler feststellen. Bitte wenden Sie sich an Ihren Customer Success-Mitarbeiter, wenn Sie Fragen haben oder Unterstützung benötigen.
Die Top 10 2025 der OWASP stufen Schwachstellen in der Software-Lieferkette auf Platz 3 ein. Mindern Sie dieses Risiko mit starken Auswirkungen durch strenge SBOMs, die Überwachung von Abhängigkeiten und die Stärkung der CI/CD-Pipeline.
Secure Code Warrior fait du codage sécurisé une expérience positive et engageante pour les développeurs à mesure qu'ils améliorent leurs compétences. Nous guidons chaque codeur le long de son parcours d'apprentissage préféré, afin que les développeurs doués pour la sécurité deviennent les super-héros du quotidien de notre monde connecté.
Secure Code Warrior Ihr Unternehmen dabei, den Code während des gesamten Softwareentwicklungszyklus zu sichern und eine Kultur zu schaffen, in der Cybersicherheit oberste Priorität hat. Ganz gleich, ob Sie für die Anwendungssicherheit verantwortlich sind, Entwickler, IT-Sicherheitsbeauftragter oder in einer anderen Funktion im Bereich Sicherheit tätig sind – wir können Ihrem Unternehmen dabei helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.
Demo buchen
Secure Code Warrior fait du codage sécurisé une expérience positive et engageante pour les développeurs à mesure qu'ils améliorent leurs compétences. Nous guidons chaque codeur le long de son parcours d'apprentissage préféré, afin que les développeurs doués pour la sécurité deviennent les super-héros du quotidien de notre monde connecté.
Cet article a été rédigé par l'équipe d'experts du secteur de Secure Code Warrior, qui s'est engagée à donner aux développeurs les connaissances et les compétences nécessaires pour créer des logiciels sécurisés dès le départ. S'appuyant sur une expertise approfondie en matière de pratiques de codage sécurisé, de tendances du secteur et de connaissances du monde réel.
Mit der mit Spannung erwarteten Veröffentlichung der OWASP Top Ten für das Jahr 2025 müssen sich Unternehmen vor einigen neuen Bedrohungen in Acht nehmen, darunter eine, die ganz oben auf der Liste steht. Software Supply Chain Failures", eine neue Kategorie, die aber nicht ganz neu ist, steht auf Platz 3 der alle vier Jahre erscheinenden Liste des Open Web Application Security Project mit den größten Risiken für die Sicherheit von Webanwendungen. Es ist ein Risiko, das Unternehmen sehr ernst nehmen müssen, wenn sie es nicht bereits tun.
Die Kategorie "Software Supply Chain Failures" ist aus der Kategorie " Vulnerable and Outdated Components" (anfällige und veraltete Komponenten) der vorherigen Liste aus dem Jahr 2021 hervorgegangen und umfasst nun ein breiteres Spektrum an Kompromittierungen im gesamten Software-Ökosystem aus Abhängigkeiten, Build-Systemen und Vertriebsinfrastruktur. Die Aufnahme in die Liste dürfte angesichts der Schäden, die durch viel beachtete Angriffe auf die Lieferkette wie SolarWinds im Jahr 2019, den Bybit-Hack Anfang dieses Jahres und die laufende Shai-Hulud-Kampagne, einen besonders fiesen, sich selbst replizierenden npm-Wurm, der in exponierten Entwicklerumgebungen Schaden anrichtet, nicht besonders überraschen.
Die OWASP-Top-Ten-Liste ist in der Regel konstant, wie es sich für eine Liste gehört, die alle vier Jahre erscheint, wenn auch mit Aktualisierungen dazwischen. Gewöhnlich gibt es einige Verschiebungen innerhalb der Liste: Injection, ein langjähriger Bewohner, fällt beispielsweise von Platz 3 auf Platz 5, Insecure Design fällt um zwei Plätze auf Platz 6, während Security Misconfiguration von Platz 5 auf Platz 2 springt. Die unzureichende Zugangskontrolle steht weiterhin an der Spitze. In der Ausgabe 2025 gibt es zwei neue Einträge, die bereits erwähnten Software Supply Chain Failures und Mishandling of Exceptional Conditions, die auf Platz 10 der Liste stehen. Hier werfen wir einen genauen Blick auf den neuen Eintrag zu den Schwachstellen in der Lieferkette.
Schwachstellen können fast überall auftreten
Software Supply Chain Failures ist eine etwas ungewöhnliche Kategorie auf der Liste, da sie unter den 10 Einträgen die wenigsten Vorkommnisse in den OWASP-Forschungsdaten aufweist, aber auch die höchsten durchschnittlichen Exploit- und Auswirkungswerte hat, die aus den fünf Common Weakness Enumerations (CWEs) in der Kategorie resultieren. OWASP vermutet, dass die begrenzte Präsenz dieser Kategorie auf die derzeitigen Schwierigkeiten bei den Tests zurückzuführen ist, die sich mit der Zeit verbessern könnten. Unabhängig davon nannten die Umfrageteilnehmer mit überwältigender Mehrheit Fehler in der Software-Lieferkette als Hauptanliegen.
Die meisten Schwachstellen in der Lieferkette ergeben sich aus der Verflechtung von Geschäftsabläufen, an denen vor- und nachgelagerte Partner und Dritte beteiligt sind. Jede Interaktion beinhaltet Software, deren Komponenten (auch Abhängigkeiten oder Bibliotheken genannt) ungeschützt sein könnten. Ein Unternehmen kann verwundbar sein, wenn es nicht alle Versionen seiner eigenen Komponenten (clientseitig, serverseitig oder verschachtelt) sowie die transitiven Abhängigkeiten (von anderen Bibliotheken) verfolgt, um sicherzustellen, dass sie nicht verwundbar, nicht unterstützt oder veraltet sind. Komponenten haben in der Regel dieselben Berechtigungen wie die Anwendung, so dass kompromittierte Komponenten, auch solche, die von Dritten oder aus Open-Source-Repositories stammen, weitreichende Auswirkungen haben können. Rechtzeitige Patches und Updates sind unerlässlich - selbst regelmäßige monatliche oder vierteljährliche Patch-Pläne können ein Unternehmen für Tage oder Monate ungeschützt lassen.
Ebenso kann das Fehlen eines Änderungsverwaltungsprozesses in der Lieferkette zu Schwachstellen führen, wenn Sie integrierte Entwicklungsumgebungen (IDEs) oder Änderungen an Ihrem Code-Repository, Image- und Bibliotheks-Repositorys oder anderen Teilen der Lieferkette nicht verfolgen. Ein Unternehmen muss die Lieferkette absichern, indem es Zugriffskontrollen und Richtlinien für die geringsten Rechte anwendet und sicherstellt, dass keine Person ohne Aufsicht Code erstellen und in der Produktion einsetzen kann und dass niemand Komponenten aus nicht vertrauenswürdigen Quellen herunterladen kann.
Angriffe auf die Lieferkette können viele Formen annehmen. Der berüchtigte Angriff auf SolarWinds begann, als russische Angreifer Malware in ein Update der beliebten Netzwerkmanagement-Software des Unternehmens einschleusten. Etwa 18.000 Kunden waren davon betroffen. Obwohl die Zahl der tatsächlich betroffenen Unternehmen eher bei 100 lag, befanden sich auf dieser Liste große Unternehmen und Regierungsbehörden. Der 1,5-Milliarden-Dollar-Hack von Bybit, der nach Nordkorea zurückverfolgt wurde, betraf kompromittierte Kryptowährungsanwendungen. Beim jüngsten Angriff auf die Lieferkette durch den Glass Worm handelte es sich um einen unsichtbaren, sich selbst replizierenden Code, der den Open VSX Marketplace infizierte.
Verhinderung von Exploits in der Lieferkette
Da bei Angriffen auf die Lieferkette die Systeme voneinander abhängig sind, ist für die Abwehr ein umfassender Ansatz erforderlich. OWASP gibt Tipps zur Verhinderung von Angriffen, einschließlich der Einrichtung von Patch-Management-Prozessen, um:
- Kennen Sie Ihre Software-Stückliste (SBOM) für die gesamte Software und verwalten Sie die SBOM zentral. Es ist am besten, SBOMs während des Builds und nicht erst später zu generieren, Standardformate wie SPDX oder CycloneDX zu verwenden und mindestens eine maschinenlesbare SBOM pro Release zu veröffentlichen.
- Verfolgen Sie alle Ihre Abhängigkeiten, einschließlich transitiver Abhängigkeiten, und entfernen Sie ungenutzte Abhängigkeiten sowie unnötige Funktionen, Komponenten, Dateien und Dokumentationen.
- Führen Sie mithilfe von Tools wie OWASP Dependency Check oder retire.js eine kontinuierliche Inventarisierung sowohl der client- als auch der serverseitigen Komponenten und ihrer Abhängigkeiten durch.
- Halten Sie sich über Schwachstellen auf dem Laufenden, indem Sie Quellen wie die Common Vulnerabilities and Exposures (CVE)-Website und die National Vulnerability Database (NVD) kontinuierlich überwachen und E-Mail-Benachrichtigungen über Sicherheitslücken in Bezug auf die von Ihnen verwendeten Komponenten abonnieren.
- Verwenden Sie nur Komponenten, die von vertrauenswürdigen Quellen über sichere Verbindungen bezogen werden. Ein vertrauenswürdiger Anbieter wäre beispielsweise bereit, mit einem Forscher zusammenzuarbeiten, um ein CVE offenzulegen, das der Forscher in einer Komponente entdeckt hat.
- Wählen Sie bewusst die Version einer Abhängigkeit aus, die Sie verwenden wollen, und aktualisieren Sie nur, wenn Sie es müssen. Arbeiten Sie mit Bibliotheken von Drittanbietern, deren Sicherheitslücken in einer bekannten Quelle wie NVD veröffentlicht wurden.
- Überwachen Sie auf nicht gewartete oder nicht unterstützte Bibliotheken und Komponenten. Wenn ein Patching nicht möglich ist, erwägen Sie die Bereitstellung eines virtuellen Patches zur Überwachung, Erkennung oder zum Schutz vor dem entdeckten Problem.
- Regelmäßige Aktualisierung der Entwicklerwerkzeuge.
- Behandeln Sie die Komponenten in Ihrer CI/CD-Pipeline als Teil dieses Prozesses, indem Sie sie härten und überwachen und gleichzeitig die Änderungen dokumentieren.
Das Änderungsmanagement oder ein Nachverfolgungsprozess sollte auch für Ihre CI/CD-Einstellungen, Code-Repositories, Sandboxes, integrierte Entwicklerumgebungen (IDEs), SBOM-Tools, erstellte Artefakte, Protokollierungssysteme und -protokolle, Integrationen von Drittanbietern wie SaaS, Artefakt-Repository und Ihre Container-Registry gelten. Außerdem müssen Sie die Systeme härten, von den Entwickler-Workstations bis zur CI/CD-Pipeline. Stellen Sie sicher, dass Sie auch die Multi-Faktor-Authentifizierung aktivieren und starke Identitäts- und Zugriffsverwaltungsrichtlinien durchsetzen.
Der Schutz vor Fehlern in der Software-Lieferkette ist angesichts unserer stark vernetzten Welt ein vielschichtiges, kontinuierliches Unterfangen. Unternehmen müssen während des gesamten Lebenszyklus ihrer Anwendungen und Komponenten starke Abwehrmaßnahmen ergreifen, um sich gegen diese sich schnell entwickelnde, moderne Bedrohung zu schützen.
Hinweis für SCW Trust Score™-Benutzer:
Da wir die Inhalte unserer Learning Platform aktualisieren, um sie mit dem OWASP Top 10 2025-Standard in Einklang zu bringen, werden Sie möglicherweise geringfügige Anpassungen im Trust Score für Ihre Full Stack-Entwickler feststellen. Bitte wenden Sie sich an Ihren Customer Success-Mitarbeiter, wenn Sie Fragen haben oder Unterstützung benötigen.
Mit der mit Spannung erwarteten Veröffentlichung der OWASP Top Ten für das Jahr 2025 müssen sich Unternehmen vor einigen neuen Bedrohungen in Acht nehmen, darunter eine, die ganz oben auf der Liste steht. Software Supply Chain Failures", eine neue Kategorie, die aber nicht ganz neu ist, steht auf Platz 3 der alle vier Jahre erscheinenden Liste des Open Web Application Security Project mit den größten Risiken für die Sicherheit von Webanwendungen. Es ist ein Risiko, das Unternehmen sehr ernst nehmen müssen, wenn sie es nicht bereits tun.
Die Kategorie "Software Supply Chain Failures" ist aus der Kategorie " Vulnerable and Outdated Components" (anfällige und veraltete Komponenten) der vorherigen Liste aus dem Jahr 2021 hervorgegangen und umfasst nun ein breiteres Spektrum an Kompromittierungen im gesamten Software-Ökosystem aus Abhängigkeiten, Build-Systemen und Vertriebsinfrastruktur. Die Aufnahme in die Liste dürfte angesichts der Schäden, die durch viel beachtete Angriffe auf die Lieferkette wie SolarWinds im Jahr 2019, den Bybit-Hack Anfang dieses Jahres und die laufende Shai-Hulud-Kampagne, einen besonders fiesen, sich selbst replizierenden npm-Wurm, der in exponierten Entwicklerumgebungen Schaden anrichtet, nicht besonders überraschen.
Die OWASP-Top-Ten-Liste ist in der Regel konstant, wie es sich für eine Liste gehört, die alle vier Jahre erscheint, wenn auch mit Aktualisierungen dazwischen. Gewöhnlich gibt es einige Verschiebungen innerhalb der Liste: Injection, ein langjähriger Bewohner, fällt beispielsweise von Platz 3 auf Platz 5, Insecure Design fällt um zwei Plätze auf Platz 6, während Security Misconfiguration von Platz 5 auf Platz 2 springt. Die unzureichende Zugangskontrolle steht weiterhin an der Spitze. In der Ausgabe 2025 gibt es zwei neue Einträge, die bereits erwähnten Software Supply Chain Failures und Mishandling of Exceptional Conditions, die auf Platz 10 der Liste stehen. Hier werfen wir einen genauen Blick auf den neuen Eintrag zu den Schwachstellen in der Lieferkette.
Schwachstellen können fast überall auftreten
Software Supply Chain Failures ist eine etwas ungewöhnliche Kategorie auf der Liste, da sie unter den 10 Einträgen die wenigsten Vorkommnisse in den OWASP-Forschungsdaten aufweist, aber auch die höchsten durchschnittlichen Exploit- und Auswirkungswerte hat, die aus den fünf Common Weakness Enumerations (CWEs) in der Kategorie resultieren. OWASP vermutet, dass die begrenzte Präsenz dieser Kategorie auf die derzeitigen Schwierigkeiten bei den Tests zurückzuführen ist, die sich mit der Zeit verbessern könnten. Unabhängig davon nannten die Umfrageteilnehmer mit überwältigender Mehrheit Fehler in der Software-Lieferkette als Hauptanliegen.
Die meisten Schwachstellen in der Lieferkette ergeben sich aus der Verflechtung von Geschäftsabläufen, an denen vor- und nachgelagerte Partner und Dritte beteiligt sind. Jede Interaktion beinhaltet Software, deren Komponenten (auch Abhängigkeiten oder Bibliotheken genannt) ungeschützt sein könnten. Ein Unternehmen kann verwundbar sein, wenn es nicht alle Versionen seiner eigenen Komponenten (clientseitig, serverseitig oder verschachtelt) sowie die transitiven Abhängigkeiten (von anderen Bibliotheken) verfolgt, um sicherzustellen, dass sie nicht verwundbar, nicht unterstützt oder veraltet sind. Komponenten haben in der Regel dieselben Berechtigungen wie die Anwendung, so dass kompromittierte Komponenten, auch solche, die von Dritten oder aus Open-Source-Repositories stammen, weitreichende Auswirkungen haben können. Rechtzeitige Patches und Updates sind unerlässlich - selbst regelmäßige monatliche oder vierteljährliche Patch-Pläne können ein Unternehmen für Tage oder Monate ungeschützt lassen.
Ebenso kann das Fehlen eines Änderungsverwaltungsprozesses in der Lieferkette zu Schwachstellen führen, wenn Sie integrierte Entwicklungsumgebungen (IDEs) oder Änderungen an Ihrem Code-Repository, Image- und Bibliotheks-Repositorys oder anderen Teilen der Lieferkette nicht verfolgen. Ein Unternehmen muss die Lieferkette absichern, indem es Zugriffskontrollen und Richtlinien für die geringsten Rechte anwendet und sicherstellt, dass keine Person ohne Aufsicht Code erstellen und in der Produktion einsetzen kann und dass niemand Komponenten aus nicht vertrauenswürdigen Quellen herunterladen kann.
Angriffe auf die Lieferkette können viele Formen annehmen. Der berüchtigte Angriff auf SolarWinds begann, als russische Angreifer Malware in ein Update der beliebten Netzwerkmanagement-Software des Unternehmens einschleusten. Etwa 18.000 Kunden waren davon betroffen. Obwohl die Zahl der tatsächlich betroffenen Unternehmen eher bei 100 lag, befanden sich auf dieser Liste große Unternehmen und Regierungsbehörden. Der 1,5-Milliarden-Dollar-Hack von Bybit, der nach Nordkorea zurückverfolgt wurde, betraf kompromittierte Kryptowährungsanwendungen. Beim jüngsten Angriff auf die Lieferkette durch den Glass Worm handelte es sich um einen unsichtbaren, sich selbst replizierenden Code, der den Open VSX Marketplace infizierte.
Verhinderung von Exploits in der Lieferkette
Da bei Angriffen auf die Lieferkette die Systeme voneinander abhängig sind, ist für die Abwehr ein umfassender Ansatz erforderlich. OWASP gibt Tipps zur Verhinderung von Angriffen, einschließlich der Einrichtung von Patch-Management-Prozessen, um:
- Kennen Sie Ihre Software-Stückliste (SBOM) für die gesamte Software und verwalten Sie die SBOM zentral. Es ist am besten, SBOMs während des Builds und nicht erst später zu generieren, Standardformate wie SPDX oder CycloneDX zu verwenden und mindestens eine maschinenlesbare SBOM pro Release zu veröffentlichen.
- Verfolgen Sie alle Ihre Abhängigkeiten, einschließlich transitiver Abhängigkeiten, und entfernen Sie ungenutzte Abhängigkeiten sowie unnötige Funktionen, Komponenten, Dateien und Dokumentationen.
- Führen Sie mithilfe von Tools wie OWASP Dependency Check oder retire.js eine kontinuierliche Inventarisierung sowohl der client- als auch der serverseitigen Komponenten und ihrer Abhängigkeiten durch.
- Halten Sie sich über Schwachstellen auf dem Laufenden, indem Sie Quellen wie die Common Vulnerabilities and Exposures (CVE)-Website und die National Vulnerability Database (NVD) kontinuierlich überwachen und E-Mail-Benachrichtigungen über Sicherheitslücken in Bezug auf die von Ihnen verwendeten Komponenten abonnieren.
- Verwenden Sie nur Komponenten, die von vertrauenswürdigen Quellen über sichere Verbindungen bezogen werden. Ein vertrauenswürdiger Anbieter wäre beispielsweise bereit, mit einem Forscher zusammenzuarbeiten, um ein CVE offenzulegen, das der Forscher in einer Komponente entdeckt hat.
- Wählen Sie bewusst die Version einer Abhängigkeit aus, die Sie verwenden wollen, und aktualisieren Sie nur, wenn Sie es müssen. Arbeiten Sie mit Bibliotheken von Drittanbietern, deren Sicherheitslücken in einer bekannten Quelle wie NVD veröffentlicht wurden.
- Überwachen Sie auf nicht gewartete oder nicht unterstützte Bibliotheken und Komponenten. Wenn ein Patching nicht möglich ist, erwägen Sie die Bereitstellung eines virtuellen Patches zur Überwachung, Erkennung oder zum Schutz vor dem entdeckten Problem.
- Regelmäßige Aktualisierung der Entwicklerwerkzeuge.
- Behandeln Sie die Komponenten in Ihrer CI/CD-Pipeline als Teil dieses Prozesses, indem Sie sie härten und überwachen und gleichzeitig die Änderungen dokumentieren.
Das Änderungsmanagement oder ein Nachverfolgungsprozess sollte auch für Ihre CI/CD-Einstellungen, Code-Repositories, Sandboxes, integrierte Entwicklerumgebungen (IDEs), SBOM-Tools, erstellte Artefakte, Protokollierungssysteme und -protokolle, Integrationen von Drittanbietern wie SaaS, Artefakt-Repository und Ihre Container-Registry gelten. Außerdem müssen Sie die Systeme härten, von den Entwickler-Workstations bis zur CI/CD-Pipeline. Stellen Sie sicher, dass Sie auch die Multi-Faktor-Authentifizierung aktivieren und starke Identitäts- und Zugriffsverwaltungsrichtlinien durchsetzen.
Der Schutz vor Fehlern in der Software-Lieferkette ist angesichts unserer stark vernetzten Welt ein vielschichtiges, kontinuierliches Unterfangen. Unternehmen müssen während des gesamten Lebenszyklus ihrer Anwendungen und Komponenten starke Abwehrmaßnahmen ergreifen, um sich gegen diese sich schnell entwickelnde, moderne Bedrohung zu schützen.
Hinweis für SCW Trust Score™-Benutzer:
Da wir die Inhalte unserer Learning Platform aktualisieren, um sie mit dem OWASP Top 10 2025-Standard in Einklang zu bringen, werden Sie möglicherweise geringfügige Anpassungen im Trust Score für Ihre Full Stack-Entwickler feststellen. Bitte wenden Sie sich an Ihren Customer Success-Mitarbeiter, wenn Sie Fragen haben oder Unterstützung benötigen.
Klicken Sie auf den untenstehenden Link und laden Sie das PDF dieser Ressource herunter.
Secure Code Warrior Ihr Unternehmen dabei, den Code während des gesamten Softwareentwicklungszyklus zu sichern und eine Kultur zu schaffen, in der Cybersicherheit oberste Priorität hat. Ganz gleich, ob Sie für die Anwendungssicherheit verantwortlich sind, Entwickler, IT-Sicherheitsbeauftragter oder in einer anderen Funktion im Bereich Sicherheit tätig sind – wir können Ihrem Unternehmen dabei helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.
Bericht anzeigenDemo buchen
Secure Code Warrior fait du codage sécurisé une expérience positive et engageante pour les développeurs à mesure qu'ils améliorent leurs compétences. Nous guidons chaque codeur le long de son parcours d'apprentissage préféré, afin que les développeurs doués pour la sécurité deviennent les super-héros du quotidien de notre monde connecté.
Cet article a été rédigé par l'équipe d'experts du secteur de Secure Code Warrior, qui s'est engagée à donner aux développeurs les connaissances et les compétences nécessaires pour créer des logiciels sécurisés dès le départ. S'appuyant sur une expertise approfondie en matière de pratiques de codage sécurisé, de tendances du secteur et de connaissances du monde réel.
Mit der mit Spannung erwarteten Veröffentlichung der OWASP Top Ten für das Jahr 2025 müssen sich Unternehmen vor einigen neuen Bedrohungen in Acht nehmen, darunter eine, die ganz oben auf der Liste steht. Software Supply Chain Failures", eine neue Kategorie, die aber nicht ganz neu ist, steht auf Platz 3 der alle vier Jahre erscheinenden Liste des Open Web Application Security Project mit den größten Risiken für die Sicherheit von Webanwendungen. Es ist ein Risiko, das Unternehmen sehr ernst nehmen müssen, wenn sie es nicht bereits tun.
Die Kategorie "Software Supply Chain Failures" ist aus der Kategorie " Vulnerable and Outdated Components" (anfällige und veraltete Komponenten) der vorherigen Liste aus dem Jahr 2021 hervorgegangen und umfasst nun ein breiteres Spektrum an Kompromittierungen im gesamten Software-Ökosystem aus Abhängigkeiten, Build-Systemen und Vertriebsinfrastruktur. Die Aufnahme in die Liste dürfte angesichts der Schäden, die durch viel beachtete Angriffe auf die Lieferkette wie SolarWinds im Jahr 2019, den Bybit-Hack Anfang dieses Jahres und die laufende Shai-Hulud-Kampagne, einen besonders fiesen, sich selbst replizierenden npm-Wurm, der in exponierten Entwicklerumgebungen Schaden anrichtet, nicht besonders überraschen.
Die OWASP-Top-Ten-Liste ist in der Regel konstant, wie es sich für eine Liste gehört, die alle vier Jahre erscheint, wenn auch mit Aktualisierungen dazwischen. Gewöhnlich gibt es einige Verschiebungen innerhalb der Liste: Injection, ein langjähriger Bewohner, fällt beispielsweise von Platz 3 auf Platz 5, Insecure Design fällt um zwei Plätze auf Platz 6, während Security Misconfiguration von Platz 5 auf Platz 2 springt. Die unzureichende Zugangskontrolle steht weiterhin an der Spitze. In der Ausgabe 2025 gibt es zwei neue Einträge, die bereits erwähnten Software Supply Chain Failures und Mishandling of Exceptional Conditions, die auf Platz 10 der Liste stehen. Hier werfen wir einen genauen Blick auf den neuen Eintrag zu den Schwachstellen in der Lieferkette.
Schwachstellen können fast überall auftreten
Software Supply Chain Failures ist eine etwas ungewöhnliche Kategorie auf der Liste, da sie unter den 10 Einträgen die wenigsten Vorkommnisse in den OWASP-Forschungsdaten aufweist, aber auch die höchsten durchschnittlichen Exploit- und Auswirkungswerte hat, die aus den fünf Common Weakness Enumerations (CWEs) in der Kategorie resultieren. OWASP vermutet, dass die begrenzte Präsenz dieser Kategorie auf die derzeitigen Schwierigkeiten bei den Tests zurückzuführen ist, die sich mit der Zeit verbessern könnten. Unabhängig davon nannten die Umfrageteilnehmer mit überwältigender Mehrheit Fehler in der Software-Lieferkette als Hauptanliegen.
Die meisten Schwachstellen in der Lieferkette ergeben sich aus der Verflechtung von Geschäftsabläufen, an denen vor- und nachgelagerte Partner und Dritte beteiligt sind. Jede Interaktion beinhaltet Software, deren Komponenten (auch Abhängigkeiten oder Bibliotheken genannt) ungeschützt sein könnten. Ein Unternehmen kann verwundbar sein, wenn es nicht alle Versionen seiner eigenen Komponenten (clientseitig, serverseitig oder verschachtelt) sowie die transitiven Abhängigkeiten (von anderen Bibliotheken) verfolgt, um sicherzustellen, dass sie nicht verwundbar, nicht unterstützt oder veraltet sind. Komponenten haben in der Regel dieselben Berechtigungen wie die Anwendung, so dass kompromittierte Komponenten, auch solche, die von Dritten oder aus Open-Source-Repositories stammen, weitreichende Auswirkungen haben können. Rechtzeitige Patches und Updates sind unerlässlich - selbst regelmäßige monatliche oder vierteljährliche Patch-Pläne können ein Unternehmen für Tage oder Monate ungeschützt lassen.
Ebenso kann das Fehlen eines Änderungsverwaltungsprozesses in der Lieferkette zu Schwachstellen führen, wenn Sie integrierte Entwicklungsumgebungen (IDEs) oder Änderungen an Ihrem Code-Repository, Image- und Bibliotheks-Repositorys oder anderen Teilen der Lieferkette nicht verfolgen. Ein Unternehmen muss die Lieferkette absichern, indem es Zugriffskontrollen und Richtlinien für die geringsten Rechte anwendet und sicherstellt, dass keine Person ohne Aufsicht Code erstellen und in der Produktion einsetzen kann und dass niemand Komponenten aus nicht vertrauenswürdigen Quellen herunterladen kann.
Angriffe auf die Lieferkette können viele Formen annehmen. Der berüchtigte Angriff auf SolarWinds begann, als russische Angreifer Malware in ein Update der beliebten Netzwerkmanagement-Software des Unternehmens einschleusten. Etwa 18.000 Kunden waren davon betroffen. Obwohl die Zahl der tatsächlich betroffenen Unternehmen eher bei 100 lag, befanden sich auf dieser Liste große Unternehmen und Regierungsbehörden. Der 1,5-Milliarden-Dollar-Hack von Bybit, der nach Nordkorea zurückverfolgt wurde, betraf kompromittierte Kryptowährungsanwendungen. Beim jüngsten Angriff auf die Lieferkette durch den Glass Worm handelte es sich um einen unsichtbaren, sich selbst replizierenden Code, der den Open VSX Marketplace infizierte.
Verhinderung von Exploits in der Lieferkette
Da bei Angriffen auf die Lieferkette die Systeme voneinander abhängig sind, ist für die Abwehr ein umfassender Ansatz erforderlich. OWASP gibt Tipps zur Verhinderung von Angriffen, einschließlich der Einrichtung von Patch-Management-Prozessen, um:
- Kennen Sie Ihre Software-Stückliste (SBOM) für die gesamte Software und verwalten Sie die SBOM zentral. Es ist am besten, SBOMs während des Builds und nicht erst später zu generieren, Standardformate wie SPDX oder CycloneDX zu verwenden und mindestens eine maschinenlesbare SBOM pro Release zu veröffentlichen.
- Verfolgen Sie alle Ihre Abhängigkeiten, einschließlich transitiver Abhängigkeiten, und entfernen Sie ungenutzte Abhängigkeiten sowie unnötige Funktionen, Komponenten, Dateien und Dokumentationen.
- Führen Sie mithilfe von Tools wie OWASP Dependency Check oder retire.js eine kontinuierliche Inventarisierung sowohl der client- als auch der serverseitigen Komponenten und ihrer Abhängigkeiten durch.
- Halten Sie sich über Schwachstellen auf dem Laufenden, indem Sie Quellen wie die Common Vulnerabilities and Exposures (CVE)-Website und die National Vulnerability Database (NVD) kontinuierlich überwachen und E-Mail-Benachrichtigungen über Sicherheitslücken in Bezug auf die von Ihnen verwendeten Komponenten abonnieren.
- Verwenden Sie nur Komponenten, die von vertrauenswürdigen Quellen über sichere Verbindungen bezogen werden. Ein vertrauenswürdiger Anbieter wäre beispielsweise bereit, mit einem Forscher zusammenzuarbeiten, um ein CVE offenzulegen, das der Forscher in einer Komponente entdeckt hat.
- Wählen Sie bewusst die Version einer Abhängigkeit aus, die Sie verwenden wollen, und aktualisieren Sie nur, wenn Sie es müssen. Arbeiten Sie mit Bibliotheken von Drittanbietern, deren Sicherheitslücken in einer bekannten Quelle wie NVD veröffentlicht wurden.
- Überwachen Sie auf nicht gewartete oder nicht unterstützte Bibliotheken und Komponenten. Wenn ein Patching nicht möglich ist, erwägen Sie die Bereitstellung eines virtuellen Patches zur Überwachung, Erkennung oder zum Schutz vor dem entdeckten Problem.
- Regelmäßige Aktualisierung der Entwicklerwerkzeuge.
- Behandeln Sie die Komponenten in Ihrer CI/CD-Pipeline als Teil dieses Prozesses, indem Sie sie härten und überwachen und gleichzeitig die Änderungen dokumentieren.
Das Änderungsmanagement oder ein Nachverfolgungsprozess sollte auch für Ihre CI/CD-Einstellungen, Code-Repositories, Sandboxes, integrierte Entwicklerumgebungen (IDEs), SBOM-Tools, erstellte Artefakte, Protokollierungssysteme und -protokolle, Integrationen von Drittanbietern wie SaaS, Artefakt-Repository und Ihre Container-Registry gelten. Außerdem müssen Sie die Systeme härten, von den Entwickler-Workstations bis zur CI/CD-Pipeline. Stellen Sie sicher, dass Sie auch die Multi-Faktor-Authentifizierung aktivieren und starke Identitäts- und Zugriffsverwaltungsrichtlinien durchsetzen.
Der Schutz vor Fehlern in der Software-Lieferkette ist angesichts unserer stark vernetzten Welt ein vielschichtiges, kontinuierliches Unterfangen. Unternehmen müssen während des gesamten Lebenszyklus ihrer Anwendungen und Komponenten starke Abwehrmaßnahmen ergreifen, um sich gegen diese sich schnell entwickelnde, moderne Bedrohung zu schützen.
Hinweis für SCW Trust Score™-Benutzer:
Da wir die Inhalte unserer Learning Platform aktualisieren, um sie mit dem OWASP Top 10 2025-Standard in Einklang zu bringen, werden Sie möglicherweise geringfügige Anpassungen im Trust Score für Ihre Full Stack-Entwickler feststellen. Bitte wenden Sie sich an Ihren Customer Success-Mitarbeiter, wenn Sie Fragen haben oder Unterstützung benötigen.
Inhaltsverzeichnis
Secure Code Warrior fait du codage sécurisé une expérience positive et engageante pour les développeurs à mesure qu'ils améliorent leurs compétences. Nous guidons chaque codeur le long de son parcours d'apprentissage préféré, afin que les développeurs doués pour la sécurité deviennent les super-héros du quotidien de notre monde connecté.
Secure Code Warrior Ihr Unternehmen dabei, den Code während des gesamten Softwareentwicklungszyklus zu sichern und eine Kultur zu schaffen, in der Cybersicherheit oberste Priorität hat. Ganz gleich, ob Sie für die Anwendungssicherheit verantwortlich sind, Entwickler, IT-Sicherheitsbeauftragter oder in einer anderen Funktion im Bereich Sicherheit tätig sind – wir können Ihrem Unternehmen dabei helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.
Demo buchenHerunterladenRessourcen, die Ihnen den Einstieg erleichtern
Themen und Inhalte der Schulung zum sicheren Code
Unsere hochmodernen Inhalte werden ständig weiterentwickelt, um mit den ständigen Veränderungen in der Softwareentwicklungslandschaft Schritt zu halten und gleichzeitig Ihre Rolle zu berücksichtigen. Die Themen reichen von KI bis hin zu XQuery-Injection und sind für eine Vielzahl von Positionen konzipiert, von Architekten über Ingenieure bis hin zu Produktmanagern und Qualitätssicherungsmitarbeitern. Verschaffen Sie sich einen Überblick über die Inhalte unseres Katalogs, sortiert nach Themen und Rollen.
Die Kamer van Koophandel setzt Maßstäbe für entwicklergesteuerte Sicherheit in großem Maßstab
Die Kamer van Koophandel berichtet, wie sie sicheres Codieren durch rollenbasierte Zertifizierungen, Trust Score-Benchmarking und eine Kultur der gemeinsamen Verantwortung für Sicherheit in die tägliche Entwicklungsarbeit integriert hat.
%20(1).avif)
.avif)
Bedrohungsmodellierung mit KI: So wird jeder Entwickler zum Bedrohungsmodellierer
Sie werden besser gerüstet sein, um Entwicklern dabei zu helfen, Ideen und Techniken zur Bedrohungsmodellierung mit den KI-Tools zu kombinieren, die sie bereits verwenden, um die Sicherheit zu erhöhen, die Zusammenarbeit zu verbessern und von Anfang an widerstandsfähigere Software zu entwickeln.
Ressourcen, die Ihnen den Einstieg erleichtern
Cybermon ist zurück: Die missions „Beat the Boss“ sind jetzt auf Abruf verfügbar.
Cybermon 2025 Beat the Boss ist jetzt das ganze Jahr über in SCW verfügbar. Setzen Sie fortschrittliche Sicherheitsherausforderungen im Zusammenhang mit KI und LLM ein, um die sichere Entwicklung von KI in großem Maßstab zu stärken.
Erläuterung des Gesetzes zur Cyberresilienz: Was bedeutet das für die Entwicklung sicherer Software bereits ab der Konzeption?
Entdecken Sie, was das europäische Gesetz zur Cyberresilienz (CRA) verlangt, für wen es gilt und wie sich Ingenieurteams durch Sicherheitsmaßnahmen bereits in der Entwurfsphase, durch die Vermeidung von Schwachstellen und durch die Stärkung der Fähigkeiten der Entwickler darauf vorbereiten können.
Moderator 1: Definierte und messbare Erfolgskriterien
Enabler 1 gibt den Startschuss für unsere 10-teilige Serie mit dem Titel „Enablers of Success“ und zeigt, wie sichere Codierung mit geschäftlichen Ergebnissen wie Risikominderung und Schnelligkeit kombiniert werden kann, um die langfristige Reife von Programmen sicherzustellen.
