OWASP Top 10 2025: Fehler in der Software-Lieferkette
Mit der lang erwarteten Ankunft von 2025 OWASP Top Tengibt es für Unternehmen einige neue Bedrohungen, die besondere Aufmerksamkeit erfordern, darunter auch solche, die sich in der Nähe der Spitze der Liste verstecken. Störungen in der Software-LieferketteDiese Gefahr tauchte zwar als neue Kategorie in der Liste der schwerwiegendsten Risiken für die Sicherheit von Webanwendungen auf, die alle vier Jahre vom Open Web Application Security Projecterstellt wird, ist jedoch keineswegs neu. Auch wenn Unternehmen dieses Risiko noch nicht ernst nehmen, sollten sie dies unbedingt tun.
Software-Lieferkettenprobleme wurden 2021 aus der vorherigen Liste gestrichen. Sieumfassen nuneine breite Palette von Schwachstellen, die das gesamte Software-Ökosystem betreffen, darunter veraltete Komponenten, Abhängigkeiten, Build-Systeme und Vertriebsinfrastrukturen. Angesichts der Schäden, die durch hochkarätige Lieferkettenangriffe verursacht wurden, ist es nicht verwunderlich, dass sie auf der Liste stehen. SolarWinds 2019, Bybit-Hack Anfang dieses Jahres und diederzeit laufende Operation Shai-Flood, ein besonders lästiger, sich selbst replizierender npm-Wurm, der in öffentlichen Entwicklerumgebungen für Chaos sorgt.
Die OWASP Top 10 sind im Großen und Ganzen konsistent und werden zwar aktualisiert, aber alle vier Jahre wird eine neue Liste veröffentlicht. In der Regel gibt es einige Verschiebungen in der Liste. So fällt beispielsweise „Injection“, ein langjähriger Dauerbrenner, von Platz 3 auf Platz 5 zurück, „Unsichere Design“ rutscht um zwei Plätze auf Platz 6 ab und „Sicherheitsfehler bei der Konfiguration“ springt von Platz 5 auf Platz 2.„Broken Access Control“ bleibt weiterhin auf dem ersten Platz. In der Ausgabe 2025 wurden zwei neue Einträge hinzugefügt: „Software Supply Chain Failures“ und „Inappropriate Handling of Exception Conditions“, die auf Platz 10 gelandet sind. Hier werden wir uns den neuen Eintrag zu Schwachstellen in der Lieferkette genauer ansehen.
Vulnerabilities can occur almost anywhere.
Software-Lieferkettenprobleme sind in der Liste eine eher ungewöhnliche Kategorie, da sie in den 10 Einträgen der OWASP-Umfrage am seltensten vorkommen. Allerdings waren die durchschnittlichen Werte für Exploits und Auswirkungen aufgrund der fünf Common Weakness Enumerations (CWE) in dieser Kategorie auch am höchsten.OWASP vermutet, dass die geringe Präsenz dieser Kategorie auf aktuelle Herausforderungen bei der Prüfung zurückzuführen ist und sich letztendlich verbessern könnte. Auf jeden Fall nennt die überwiegende Mehrheit der Umfrageteilnehmer Störungen in der Software-Lieferkette als ihr größtes Anliegen.
Die größte Schwachstelle in der Lieferkette besteht darin, dass Unternehmen aus miteinander verflochtenen Geschäftsbeziehungen mit Partnern und Dritten in vor- und nachgelagerten Bereichen ausbrechen und wachsen. Bei allen Interaktionen sind Komponenten (auch als Abhängigkeiten oder Bibliotheken bezeichnet) von ungeschützter Software beteiligt.Unternehmen können anfällig werden, wenn sie nicht alle Versionen ihrer eigenen Komponenten (clientseitig, serverseitig oder verschachtelt) und transitive Abhängigkeiten (von anderen Bibliotheken) nachverfolgen und so sicherstellen können, dass diese nicht anfällig, nicht mehr unterstützt oder veraltet sind.Da Komponenten in der Regel über dieselben Berechtigungen wie Anwendungen verfügen, können kompromittierte Komponenten, einschließlich solcher aus Repositorys von Drittanbietern und Open Source, weitreichende Auswirkungen haben. Die zeitnahe Installation von Patches und Updates ist daher unerlässlich. Selbst bei einem regelmäßigen monatlichen oder vierteljährlichen Patch-Zeitplan können Unternehmen mehrere Tage oder Monate lang gefährdet sein.
Ebenso kann es zu Schwachstellen kommen, wenn in der integrierten Entwicklungsumgebung (IDE), Code-Repositorys, Image- und Bibliotheks-Repositorys oder andere Teile der Lieferkette nicht nachverfolgt werden, kann dies zu Schwachstellen führen, wenn es keinen Änderungsmanagementprozess für die Lieferkette gibt. Unternehmen müssen ihre Lieferkette durch Zugriffskontrollen und Richtlinien zur minimalen Berechtigungsvergabe stärken. Dadurch soll verhindert werden, dass Einzelpersonen ohne Aufsicht Code erstellen und in der Produktionsumgebung bereitstellen oder Komponenten aus nicht vertrauenswürdigen Quellen herunterladen können.
Supply-Chain-Angriffe können verschiedene Formen annehmen. Der berüchtigte SolarWinds-Angriff begann damit, dass russische Angreifer Malware in das Update der beliebten Netzwerkverwaltungssoftware des Unternehmens einschleusten.Etwa 18.000 Kunden waren davon betroffen. Tatsächlich waren fast 100 Unternehmen betroffen, darunter auch große Unternehmen und Regierungsbehörden. Der Bybit-Hack im Wert von 1,5 Milliarden US-Dollar, der bis nach Nordkorea zurückverfolgt werden konnte, umfasste auch eine kompromittierte Kryptowährungs-App. Der jüngste Glassworm-Angriff auf die Lieferkette umfasste unsichtbaren, sich selbst replizierenden Code, der den Open VSX Marketplace infizierte.
Verhinderung von Supply-Chain-Exploits
Da Angriffe auf die Lieferkette mit gegenseitigen Abhängigkeiten der Systeme einhergehen, ist für deren Abwehr ein umfassender Ansatz erforderlich. OWASP bietet Tipps zur Abwehr solcher Angriffe, beispielsweise durch die Einführung eines Patch-Management-Prozesses.
- Erfassen Sie alle Software-Stücklisten (SBOM) und verwalten Sie diese zentral. Anstatt SBOMs später unter Verwendung von Standardformaten wie SPDX oder CycloneDX zu generieren, ist es am besten, SBOMs während des Builds zu erstellen und mindestens eine maschinenlesbare SBOM pro Release zu veröffentlichen.
- Verfolgen Sie alle Abhängigkeiten, einschließlich transitorischer Abhängigkeiten, entfernen Sie ungenutzte Abhängigkeiten und löschen Sie unnötige Funktionen, Komponenten, Dateien und Dokumente.
- Verwenden Sie die folgenden Tools, um sowohl clientseitige als auch serverseitige Komponenten und deren Abhängigkeiten kontinuierlich zu inventarisieren: OWASP Dependency Check oder retire.js.
- Beobachten Sie kontinuierlich die folgenden Ursachen, um aktuelle Informationen zu Schwachstellen zu erhalten. Abonnieren Sie E-Mail-Benachrichtigungen zu Sicherheitslücken in den von Ihnen verwendeten Komponenten über die Website „Common Vulnerabilities and Exposures“ (CVE) und die „National Vulnerability Database“ (NVD).
- Verwenden Sie nur Komponenten, die Sie über sichere Links von vertrauenswürdigen Quellen bezogen haben. Ein vertrauenswürdiger Anbieter würde beispielsweise mit Forschern zusammenarbeiten und CVEs offenlegen, die diese in den Komponenten entdeckt haben.
- Wählen Sie die Versionen der verwendeten Abhängigkeiten bewusst aus und führen Sie Upgrades nur bei Bedarf durch. Verwenden Sie Bibliotheken von Drittanbietern, deren Schwachstellen in bekannten Quellen wie NVD veröffentlicht wurden.
- Überwachen Sie Bibliotheken und Komponenten, die nicht gewartet oder unterstützt werden. Wenn Sie keine Patches anwenden können, sollten Sie die Einführung virtueller Patches in Betracht ziehen, um die gefundenen Probleme zu überwachen, zu erkennen oder zu schützen.
- Entwicklertools werden regelmäßig aktualisiert.
- Die Komponenten in der CI/CD-Pipeline werden als Teil dieses Prozesses behandelt, verbessert und überwacht, wobei alle Änderungen dokumentiert werden.
Der Änderungsmanagement- oder Nachverfolgungsprozess muss auch auf CI/CD-Konfigurationen, Code-Repositorys, Sandboxes, integrierte Entwicklungsumgebungen (IDE), SBOM-Tools, erstellte Artefakte, Protokollierungssysteme und -protokolle, SaaS, Artefakt-Repositorys, Container-Registries und andere Integrationen von Drittanbietern angewendet werden.Außerdem muss das System von der Entwickler-Workstation bis zur CI/CD-Pipeline verstärkt werden. Darüber hinaus sollten Sie eine starke Identitäts- und Zugriffsverwaltungspolitik anwenden und die Multi-Faktor-Authentifizierung aktivieren.
Der Schutz vor Störungen in der Software-Lieferkette ist in einer hochgradig vernetzten Welt eine vielschichtige und kontinuierliche Aufgabe. Um sich vor diesen sich rasch entwickelnden modernen Bedrohungen zu schützen, müssen Unternehmen während des gesamten Lebenszyklus ihrer Anwendungen und Komponenten wirksame Abwehrmaßnahmen ergreifen.
SCW Trust Score – Hinweise für Benutzer™:
Bei der Aktualisierung der Inhalte der Lernplattform gemäß den OWASP Top 10 2025-Standards kann es zu geringfügigen Anpassungen des Vertrauenswerts für Full-Stack-Entwickler kommen. Bei Fragen oder für Unterstützung wenden Sie sich bitte an Ihren Kundenerfolgsmanager.
In den OWASP Top 10 2025 wird die Störung der Software-Lieferkette auf Platz 3 aufgeführt. Reduzieren Sie dieses Risiko mit erheblichen Auswirkungen durch strenge SBOM, Abhängigkeitsverfolgung und die Stärkung der CI/CD-Pipeline.
Secure Code Warrior macht sicheres Codieren zu einer positiven und attraktiven Erfahrung, während Entwickler ihre Fähigkeiten verbessern. Es führt jeden einzelnen Programmierer auf den von ihm gewünschten Lernpfad, damit Entwickler mit Sicherheitskenntnissen in unserer vernetzten Welt täglich zu Superhelden werden können.
Secure Code Warrior schützt Ihren Code während des gesamten Softwareentwicklungszyklus und hilft Ihnen dabei, eine Kultur zu schaffen, in der Cybersicherheit oberste Priorität hat. Ganz gleich, ob Sie Anwendungs-Sicherheitsmanager, Entwickler, CISO oder Sicherheitsbeauftragter sind – wir helfen Ihnen dabei, die mit unsicherem Code verbundenen Risiken zu minimieren.
デモを予約
Secure Code Warrior macht sicheres Codieren zu einer positiven und attraktiven Erfahrung, während Entwickler ihre Fähigkeiten verbessern. Es führt jeden einzelnen Programmierer auf den von ihm gewünschten Lernpfad, damit Entwickler mit Sicherheitskenntnissen in unserer vernetzten Welt täglich zu Superhelden werden können.
Dieser Artikel wurde vom Branchenexperten-Team von Secure Code Warrior verfasst. Er zielt darauf ab, Entwicklern das Wissen und die Fähigkeiten zu vermitteln, die sie benötigen, um von Anfang an sichere Software zu entwickeln. Dabei werden fundierte Fachkenntnisse über die Praxis des sicheren Codierens, Branchentrends und Einblicke aus der Praxis genutzt.
Mit der lang erwarteten Ankunft von 2025 OWASP Top Tengibt es für Unternehmen einige neue Bedrohungen, die besondere Aufmerksamkeit erfordern, darunter auch solche, die sich in der Nähe der Spitze der Liste verstecken. Störungen in der Software-LieferketteDiese Gefahr tauchte zwar als neue Kategorie in der Liste der schwerwiegendsten Risiken für die Sicherheit von Webanwendungen auf, die alle vier Jahre vom Open Web Application Security Projecterstellt wird, ist jedoch keineswegs neu. Auch wenn Unternehmen dieses Risiko noch nicht ernst nehmen, sollten sie dies unbedingt tun.
Software-Lieferkettenprobleme wurden 2021 aus der vorherigen Liste gestrichen. Sieumfassen nuneine breite Palette von Schwachstellen, die das gesamte Software-Ökosystem betreffen, darunter veraltete Komponenten, Abhängigkeiten, Build-Systeme und Vertriebsinfrastrukturen. Angesichts der Schäden, die durch hochkarätige Lieferkettenangriffe verursacht wurden, ist es nicht verwunderlich, dass sie auf der Liste stehen. SolarWinds 2019, Bybit-Hack Anfang dieses Jahres und diederzeit laufende Operation Shai-Flood, ein besonders lästiger, sich selbst replizierender npm-Wurm, der in öffentlichen Entwicklerumgebungen für Chaos sorgt.
Die OWASP Top 10 sind im Großen und Ganzen konsistent und werden zwar aktualisiert, aber alle vier Jahre wird eine neue Liste veröffentlicht. In der Regel gibt es einige Verschiebungen in der Liste. So fällt beispielsweise „Injection“, ein langjähriger Dauerbrenner, von Platz 3 auf Platz 5 zurück, „Unsichere Design“ rutscht um zwei Plätze auf Platz 6 ab und „Sicherheitsfehler bei der Konfiguration“ springt von Platz 5 auf Platz 2.„Broken Access Control“ bleibt weiterhin auf dem ersten Platz. In der Ausgabe 2025 wurden zwei neue Einträge hinzugefügt: „Software Supply Chain Failures“ und „Inappropriate Handling of Exception Conditions“, die auf Platz 10 gelandet sind. Hier werden wir uns den neuen Eintrag zu Schwachstellen in der Lieferkette genauer ansehen.
Vulnerabilities can occur almost anywhere.
Software-Lieferkettenprobleme sind in der Liste eine eher ungewöhnliche Kategorie, da sie in den 10 Einträgen der OWASP-Umfrage am seltensten vorkommen. Allerdings waren die durchschnittlichen Werte für Exploits und Auswirkungen aufgrund der fünf Common Weakness Enumerations (CWE) in dieser Kategorie auch am höchsten.OWASP vermutet, dass die geringe Präsenz dieser Kategorie auf aktuelle Herausforderungen bei der Prüfung zurückzuführen ist und sich letztendlich verbessern könnte. Auf jeden Fall nennt die überwiegende Mehrheit der Umfrageteilnehmer Störungen in der Software-Lieferkette als ihr größtes Anliegen.
Die größte Schwachstelle in der Lieferkette besteht darin, dass Unternehmen aus miteinander verflochtenen Geschäftsbeziehungen mit Partnern und Dritten in vor- und nachgelagerten Bereichen ausbrechen und wachsen. Bei allen Interaktionen sind Komponenten (auch als Abhängigkeiten oder Bibliotheken bezeichnet) von ungeschützter Software beteiligt.Unternehmen können anfällig werden, wenn sie nicht alle Versionen ihrer eigenen Komponenten (clientseitig, serverseitig oder verschachtelt) und transitive Abhängigkeiten (von anderen Bibliotheken) nachverfolgen und so sicherstellen können, dass diese nicht anfällig, nicht mehr unterstützt oder veraltet sind.Da Komponenten in der Regel über dieselben Berechtigungen wie Anwendungen verfügen, können kompromittierte Komponenten, einschließlich solcher aus Repositorys von Drittanbietern und Open Source, weitreichende Auswirkungen haben. Die zeitnahe Installation von Patches und Updates ist daher unerlässlich. Selbst bei einem regelmäßigen monatlichen oder vierteljährlichen Patch-Zeitplan können Unternehmen mehrere Tage oder Monate lang gefährdet sein.
Ebenso kann es zu Schwachstellen kommen, wenn in der integrierten Entwicklungsumgebung (IDE), Code-Repositorys, Image- und Bibliotheks-Repositorys oder andere Teile der Lieferkette nicht nachverfolgt werden, kann dies zu Schwachstellen führen, wenn es keinen Änderungsmanagementprozess für die Lieferkette gibt. Unternehmen müssen ihre Lieferkette durch Zugriffskontrollen und Richtlinien zur minimalen Berechtigungsvergabe stärken. Dadurch soll verhindert werden, dass Einzelpersonen ohne Aufsicht Code erstellen und in der Produktionsumgebung bereitstellen oder Komponenten aus nicht vertrauenswürdigen Quellen herunterladen können.
Supply-Chain-Angriffe können verschiedene Formen annehmen. Der berüchtigte SolarWinds-Angriff begann damit, dass russische Angreifer Malware in das Update der beliebten Netzwerkverwaltungssoftware des Unternehmens einschleusten.Etwa 18.000 Kunden waren davon betroffen. Tatsächlich waren fast 100 Unternehmen betroffen, darunter auch große Unternehmen und Regierungsbehörden. Der Bybit-Hack im Wert von 1,5 Milliarden US-Dollar, der bis nach Nordkorea zurückverfolgt werden konnte, umfasste auch eine kompromittierte Kryptowährungs-App. Der jüngste Glassworm-Angriff auf die Lieferkette umfasste unsichtbaren, sich selbst replizierenden Code, der den Open VSX Marketplace infizierte.
Verhinderung von Supply-Chain-Exploits
Da Angriffe auf die Lieferkette mit gegenseitigen Abhängigkeiten der Systeme einhergehen, ist für deren Abwehr ein umfassender Ansatz erforderlich. OWASP bietet Tipps zur Abwehr solcher Angriffe, beispielsweise durch die Einführung eines Patch-Management-Prozesses.
- Erfassen Sie alle Software-Stücklisten (SBOM) und verwalten Sie diese zentral. Anstatt SBOMs später unter Verwendung von Standardformaten wie SPDX oder CycloneDX zu generieren, ist es am besten, SBOMs während des Builds zu erstellen und mindestens eine maschinenlesbare SBOM pro Release zu veröffentlichen.
- Verfolgen Sie alle Abhängigkeiten, einschließlich transitorischer Abhängigkeiten, entfernen Sie ungenutzte Abhängigkeiten und löschen Sie unnötige Funktionen, Komponenten, Dateien und Dokumente.
- Verwenden Sie die folgenden Tools, um sowohl clientseitige als auch serverseitige Komponenten und deren Abhängigkeiten kontinuierlich zu inventarisieren: OWASP Dependency Check oder retire.js.
- Beobachten Sie kontinuierlich die folgenden Ursachen, um aktuelle Informationen zu Schwachstellen zu erhalten. Abonnieren Sie E-Mail-Benachrichtigungen zu Sicherheitslücken in den von Ihnen verwendeten Komponenten über die Website „Common Vulnerabilities and Exposures“ (CVE) und die „National Vulnerability Database“ (NVD).
- Verwenden Sie nur Komponenten, die Sie über sichere Links von vertrauenswürdigen Quellen bezogen haben. Ein vertrauenswürdiger Anbieter würde beispielsweise mit Forschern zusammenarbeiten und CVEs offenlegen, die diese in den Komponenten entdeckt haben.
- Wählen Sie die Versionen der verwendeten Abhängigkeiten bewusst aus und führen Sie Upgrades nur bei Bedarf durch. Verwenden Sie Bibliotheken von Drittanbietern, deren Schwachstellen in bekannten Quellen wie NVD veröffentlicht wurden.
- Überwachen Sie Bibliotheken und Komponenten, die nicht gewartet oder unterstützt werden. Wenn Sie keine Patches anwenden können, sollten Sie die Einführung virtueller Patches in Betracht ziehen, um die gefundenen Probleme zu überwachen, zu erkennen oder zu schützen.
- Entwicklertools werden regelmäßig aktualisiert.
- Die Komponenten in der CI/CD-Pipeline werden als Teil dieses Prozesses behandelt, verbessert und überwacht, wobei alle Änderungen dokumentiert werden.
Der Änderungsmanagement- oder Nachverfolgungsprozess muss auch auf CI/CD-Konfigurationen, Code-Repositorys, Sandboxes, integrierte Entwicklungsumgebungen (IDE), SBOM-Tools, erstellte Artefakte, Protokollierungssysteme und -protokolle, SaaS, Artefakt-Repositorys, Container-Registries und andere Integrationen von Drittanbietern angewendet werden.Außerdem muss das System von der Entwickler-Workstation bis zur CI/CD-Pipeline verstärkt werden. Darüber hinaus sollten Sie eine starke Identitäts- und Zugriffsverwaltungspolitik anwenden und die Multi-Faktor-Authentifizierung aktivieren.
Der Schutz vor Störungen in der Software-Lieferkette ist in einer hochgradig vernetzten Welt eine vielschichtige und kontinuierliche Aufgabe. Um sich vor diesen sich rasch entwickelnden modernen Bedrohungen zu schützen, müssen Unternehmen während des gesamten Lebenszyklus ihrer Anwendungen und Komponenten wirksame Abwehrmaßnahmen ergreifen.
SCW Trust Score – Hinweise für Benutzer™:
Bei der Aktualisierung der Inhalte der Lernplattform gemäß den OWASP Top 10 2025-Standards kann es zu geringfügigen Anpassungen des Vertrauenswerts für Full-Stack-Entwickler kommen. Bei Fragen oder für Unterstützung wenden Sie sich bitte an Ihren Kundenerfolgsmanager.
Mit der lang erwarteten Ankunft von 2025 OWASP Top Tengibt es für Unternehmen einige neue Bedrohungen, die besondere Aufmerksamkeit erfordern, darunter auch solche, die sich in der Nähe der Spitze der Liste verstecken. Störungen in der Software-LieferketteDiese Gefahr tauchte zwar als neue Kategorie in der Liste der schwerwiegendsten Risiken für die Sicherheit von Webanwendungen auf, die alle vier Jahre vom Open Web Application Security Projecterstellt wird, ist jedoch keineswegs neu. Auch wenn Unternehmen dieses Risiko noch nicht ernst nehmen, sollten sie dies unbedingt tun.
Software-Lieferkettenprobleme wurden 2021 aus der vorherigen Liste gestrichen. Sieumfassen nuneine breite Palette von Schwachstellen, die das gesamte Software-Ökosystem betreffen, darunter veraltete Komponenten, Abhängigkeiten, Build-Systeme und Vertriebsinfrastrukturen. Angesichts der Schäden, die durch hochkarätige Lieferkettenangriffe verursacht wurden, ist es nicht verwunderlich, dass sie auf der Liste stehen. SolarWinds 2019, Bybit-Hack Anfang dieses Jahres und diederzeit laufende Operation Shai-Flood, ein besonders lästiger, sich selbst replizierender npm-Wurm, der in öffentlichen Entwicklerumgebungen für Chaos sorgt.
Die OWASP Top 10 sind im Großen und Ganzen konsistent und werden zwar aktualisiert, aber alle vier Jahre wird eine neue Liste veröffentlicht. In der Regel gibt es einige Verschiebungen in der Liste. So fällt beispielsweise „Injection“, ein langjähriger Dauerbrenner, von Platz 3 auf Platz 5 zurück, „Unsichere Design“ rutscht um zwei Plätze auf Platz 6 ab und „Sicherheitsfehler bei der Konfiguration“ springt von Platz 5 auf Platz 2.„Broken Access Control“ bleibt weiterhin auf dem ersten Platz. In der Ausgabe 2025 wurden zwei neue Einträge hinzugefügt: „Software Supply Chain Failures“ und „Inappropriate Handling of Exception Conditions“, die auf Platz 10 gelandet sind. Hier werden wir uns den neuen Eintrag zu Schwachstellen in der Lieferkette genauer ansehen.
Vulnerabilities can occur almost anywhere.
Software-Lieferkettenprobleme sind in der Liste eine eher ungewöhnliche Kategorie, da sie in den 10 Einträgen der OWASP-Umfrage am seltensten vorkommen. Allerdings waren die durchschnittlichen Werte für Exploits und Auswirkungen aufgrund der fünf Common Weakness Enumerations (CWE) in dieser Kategorie auch am höchsten.OWASP vermutet, dass die geringe Präsenz dieser Kategorie auf aktuelle Herausforderungen bei der Prüfung zurückzuführen ist und sich letztendlich verbessern könnte. Auf jeden Fall nennt die überwiegende Mehrheit der Umfrageteilnehmer Störungen in der Software-Lieferkette als ihr größtes Anliegen.
Die größte Schwachstelle in der Lieferkette besteht darin, dass Unternehmen aus miteinander verflochtenen Geschäftsbeziehungen mit Partnern und Dritten in vor- und nachgelagerten Bereichen ausbrechen und wachsen. Bei allen Interaktionen sind Komponenten (auch als Abhängigkeiten oder Bibliotheken bezeichnet) von ungeschützter Software beteiligt.Unternehmen können anfällig werden, wenn sie nicht alle Versionen ihrer eigenen Komponenten (clientseitig, serverseitig oder verschachtelt) und transitive Abhängigkeiten (von anderen Bibliotheken) nachverfolgen und so sicherstellen können, dass diese nicht anfällig, nicht mehr unterstützt oder veraltet sind.Da Komponenten in der Regel über dieselben Berechtigungen wie Anwendungen verfügen, können kompromittierte Komponenten, einschließlich solcher aus Repositorys von Drittanbietern und Open Source, weitreichende Auswirkungen haben. Die zeitnahe Installation von Patches und Updates ist daher unerlässlich. Selbst bei einem regelmäßigen monatlichen oder vierteljährlichen Patch-Zeitplan können Unternehmen mehrere Tage oder Monate lang gefährdet sein.
Ebenso kann es zu Schwachstellen kommen, wenn in der integrierten Entwicklungsumgebung (IDE), Code-Repositorys, Image- und Bibliotheks-Repositorys oder andere Teile der Lieferkette nicht nachverfolgt werden, kann dies zu Schwachstellen führen, wenn es keinen Änderungsmanagementprozess für die Lieferkette gibt. Unternehmen müssen ihre Lieferkette durch Zugriffskontrollen und Richtlinien zur minimalen Berechtigungsvergabe stärken. Dadurch soll verhindert werden, dass Einzelpersonen ohne Aufsicht Code erstellen und in der Produktionsumgebung bereitstellen oder Komponenten aus nicht vertrauenswürdigen Quellen herunterladen können.
Supply-Chain-Angriffe können verschiedene Formen annehmen. Der berüchtigte SolarWinds-Angriff begann damit, dass russische Angreifer Malware in das Update der beliebten Netzwerkverwaltungssoftware des Unternehmens einschleusten.Etwa 18.000 Kunden waren davon betroffen. Tatsächlich waren fast 100 Unternehmen betroffen, darunter auch große Unternehmen und Regierungsbehörden. Der Bybit-Hack im Wert von 1,5 Milliarden US-Dollar, der bis nach Nordkorea zurückverfolgt werden konnte, umfasste auch eine kompromittierte Kryptowährungs-App. Der jüngste Glassworm-Angriff auf die Lieferkette umfasste unsichtbaren, sich selbst replizierenden Code, der den Open VSX Marketplace infizierte.
Verhinderung von Supply-Chain-Exploits
Da Angriffe auf die Lieferkette mit gegenseitigen Abhängigkeiten der Systeme einhergehen, ist für deren Abwehr ein umfassender Ansatz erforderlich. OWASP bietet Tipps zur Abwehr solcher Angriffe, beispielsweise durch die Einführung eines Patch-Management-Prozesses.
- Erfassen Sie alle Software-Stücklisten (SBOM) und verwalten Sie diese zentral. Anstatt SBOMs später unter Verwendung von Standardformaten wie SPDX oder CycloneDX zu generieren, ist es am besten, SBOMs während des Builds zu erstellen und mindestens eine maschinenlesbare SBOM pro Release zu veröffentlichen.
- Verfolgen Sie alle Abhängigkeiten, einschließlich transitorischer Abhängigkeiten, entfernen Sie ungenutzte Abhängigkeiten und löschen Sie unnötige Funktionen, Komponenten, Dateien und Dokumente.
- Verwenden Sie die folgenden Tools, um sowohl clientseitige als auch serverseitige Komponenten und deren Abhängigkeiten kontinuierlich zu inventarisieren: OWASP Dependency Check oder retire.js.
- Beobachten Sie kontinuierlich die folgenden Ursachen, um aktuelle Informationen zu Schwachstellen zu erhalten. Abonnieren Sie E-Mail-Benachrichtigungen zu Sicherheitslücken in den von Ihnen verwendeten Komponenten über die Website „Common Vulnerabilities and Exposures“ (CVE) und die „National Vulnerability Database“ (NVD).
- Verwenden Sie nur Komponenten, die Sie über sichere Links von vertrauenswürdigen Quellen bezogen haben. Ein vertrauenswürdiger Anbieter würde beispielsweise mit Forschern zusammenarbeiten und CVEs offenlegen, die diese in den Komponenten entdeckt haben.
- Wählen Sie die Versionen der verwendeten Abhängigkeiten bewusst aus und führen Sie Upgrades nur bei Bedarf durch. Verwenden Sie Bibliotheken von Drittanbietern, deren Schwachstellen in bekannten Quellen wie NVD veröffentlicht wurden.
- Überwachen Sie Bibliotheken und Komponenten, die nicht gewartet oder unterstützt werden. Wenn Sie keine Patches anwenden können, sollten Sie die Einführung virtueller Patches in Betracht ziehen, um die gefundenen Probleme zu überwachen, zu erkennen oder zu schützen.
- Entwicklertools werden regelmäßig aktualisiert.
- Die Komponenten in der CI/CD-Pipeline werden als Teil dieses Prozesses behandelt, verbessert und überwacht, wobei alle Änderungen dokumentiert werden.
Der Änderungsmanagement- oder Nachverfolgungsprozess muss auch auf CI/CD-Konfigurationen, Code-Repositorys, Sandboxes, integrierte Entwicklungsumgebungen (IDE), SBOM-Tools, erstellte Artefakte, Protokollierungssysteme und -protokolle, SaaS, Artefakt-Repositorys, Container-Registries und andere Integrationen von Drittanbietern angewendet werden.Außerdem muss das System von der Entwickler-Workstation bis zur CI/CD-Pipeline verstärkt werden. Darüber hinaus sollten Sie eine starke Identitäts- und Zugriffsverwaltungspolitik anwenden und die Multi-Faktor-Authentifizierung aktivieren.
Der Schutz vor Störungen in der Software-Lieferkette ist in einer hochgradig vernetzten Welt eine vielschichtige und kontinuierliche Aufgabe. Um sich vor diesen sich rasch entwickelnden modernen Bedrohungen zu schützen, müssen Unternehmen während des gesamten Lebenszyklus ihrer Anwendungen und Komponenten wirksame Abwehrmaßnahmen ergreifen.
SCW Trust Score – Hinweise für Benutzer™:
Bei der Aktualisierung der Inhalte der Lernplattform gemäß den OWASP Top 10 2025-Standards kann es zu geringfügigen Anpassungen des Vertrauenswerts für Full-Stack-Entwickler kommen. Bei Fragen oder für Unterstützung wenden Sie sich bitte an Ihren Kundenerfolgsmanager.
Klicken Sie auf den folgenden Link, um die PDF-Datei dieser Ressource herunterzuladen.
Secure Code Warrior schützt Ihren Code während des gesamten Softwareentwicklungszyklus und hilft Ihnen dabei, eine Kultur zu schaffen, in der Cybersicherheit oberste Priorität hat. Ganz gleich, ob Sie Anwendungs-Sicherheitsmanager, Entwickler, CISO oder Sicherheitsbeauftragter sind – wir helfen Ihnen dabei, die mit unsicherem Code verbundenen Risiken zu minimieren.
Bericht anzeigenデモを予約
Secure Code Warrior macht sicheres Codieren zu einer positiven und attraktiven Erfahrung, während Entwickler ihre Fähigkeiten verbessern. Es führt jeden einzelnen Programmierer auf den von ihm gewünschten Lernpfad, damit Entwickler mit Sicherheitskenntnissen in unserer vernetzten Welt täglich zu Superhelden werden können.
Dieser Artikel wurde vom Branchenexperten-Team von Secure Code Warrior verfasst. Er zielt darauf ab, Entwicklern das Wissen und die Fähigkeiten zu vermitteln, die sie benötigen, um von Anfang an sichere Software zu entwickeln. Dabei werden fundierte Fachkenntnisse über die Praxis des sicheren Codierens, Branchentrends und Einblicke aus der Praxis genutzt.
Mit der lang erwarteten Ankunft von 2025 OWASP Top Tengibt es für Unternehmen einige neue Bedrohungen, die besondere Aufmerksamkeit erfordern, darunter auch solche, die sich in der Nähe der Spitze der Liste verstecken. Störungen in der Software-LieferketteDiese Gefahr tauchte zwar als neue Kategorie in der Liste der schwerwiegendsten Risiken für die Sicherheit von Webanwendungen auf, die alle vier Jahre vom Open Web Application Security Projecterstellt wird, ist jedoch keineswegs neu. Auch wenn Unternehmen dieses Risiko noch nicht ernst nehmen, sollten sie dies unbedingt tun.
Software-Lieferkettenprobleme wurden 2021 aus der vorherigen Liste gestrichen. Sieumfassen nuneine breite Palette von Schwachstellen, die das gesamte Software-Ökosystem betreffen, darunter veraltete Komponenten, Abhängigkeiten, Build-Systeme und Vertriebsinfrastrukturen. Angesichts der Schäden, die durch hochkarätige Lieferkettenangriffe verursacht wurden, ist es nicht verwunderlich, dass sie auf der Liste stehen. SolarWinds 2019, Bybit-Hack Anfang dieses Jahres und diederzeit laufende Operation Shai-Flood, ein besonders lästiger, sich selbst replizierender npm-Wurm, der in öffentlichen Entwicklerumgebungen für Chaos sorgt.
Die OWASP Top 10 sind im Großen und Ganzen konsistent und werden zwar aktualisiert, aber alle vier Jahre wird eine neue Liste veröffentlicht. In der Regel gibt es einige Verschiebungen in der Liste. So fällt beispielsweise „Injection“, ein langjähriger Dauerbrenner, von Platz 3 auf Platz 5 zurück, „Unsichere Design“ rutscht um zwei Plätze auf Platz 6 ab und „Sicherheitsfehler bei der Konfiguration“ springt von Platz 5 auf Platz 2.„Broken Access Control“ bleibt weiterhin auf dem ersten Platz. In der Ausgabe 2025 wurden zwei neue Einträge hinzugefügt: „Software Supply Chain Failures“ und „Inappropriate Handling of Exception Conditions“, die auf Platz 10 gelandet sind. Hier werden wir uns den neuen Eintrag zu Schwachstellen in der Lieferkette genauer ansehen.
Vulnerabilities can occur almost anywhere.
Software-Lieferkettenprobleme sind in der Liste eine eher ungewöhnliche Kategorie, da sie in den 10 Einträgen der OWASP-Umfrage am seltensten vorkommen. Allerdings waren die durchschnittlichen Werte für Exploits und Auswirkungen aufgrund der fünf Common Weakness Enumerations (CWE) in dieser Kategorie auch am höchsten.OWASP vermutet, dass die geringe Präsenz dieser Kategorie auf aktuelle Herausforderungen bei der Prüfung zurückzuführen ist und sich letztendlich verbessern könnte. Auf jeden Fall nennt die überwiegende Mehrheit der Umfrageteilnehmer Störungen in der Software-Lieferkette als ihr größtes Anliegen.
Die größte Schwachstelle in der Lieferkette besteht darin, dass Unternehmen aus miteinander verflochtenen Geschäftsbeziehungen mit Partnern und Dritten in vor- und nachgelagerten Bereichen ausbrechen und wachsen. Bei allen Interaktionen sind Komponenten (auch als Abhängigkeiten oder Bibliotheken bezeichnet) von ungeschützter Software beteiligt.Unternehmen können anfällig werden, wenn sie nicht alle Versionen ihrer eigenen Komponenten (clientseitig, serverseitig oder verschachtelt) und transitive Abhängigkeiten (von anderen Bibliotheken) nachverfolgen und so sicherstellen können, dass diese nicht anfällig, nicht mehr unterstützt oder veraltet sind.Da Komponenten in der Regel über dieselben Berechtigungen wie Anwendungen verfügen, können kompromittierte Komponenten, einschließlich solcher aus Repositorys von Drittanbietern und Open Source, weitreichende Auswirkungen haben. Die zeitnahe Installation von Patches und Updates ist daher unerlässlich. Selbst bei einem regelmäßigen monatlichen oder vierteljährlichen Patch-Zeitplan können Unternehmen mehrere Tage oder Monate lang gefährdet sein.
Ebenso kann es zu Schwachstellen kommen, wenn in der integrierten Entwicklungsumgebung (IDE), Code-Repositorys, Image- und Bibliotheks-Repositorys oder andere Teile der Lieferkette nicht nachverfolgt werden, kann dies zu Schwachstellen führen, wenn es keinen Änderungsmanagementprozess für die Lieferkette gibt. Unternehmen müssen ihre Lieferkette durch Zugriffskontrollen und Richtlinien zur minimalen Berechtigungsvergabe stärken. Dadurch soll verhindert werden, dass Einzelpersonen ohne Aufsicht Code erstellen und in der Produktionsumgebung bereitstellen oder Komponenten aus nicht vertrauenswürdigen Quellen herunterladen können.
Supply-Chain-Angriffe können verschiedene Formen annehmen. Der berüchtigte SolarWinds-Angriff begann damit, dass russische Angreifer Malware in das Update der beliebten Netzwerkverwaltungssoftware des Unternehmens einschleusten.Etwa 18.000 Kunden waren davon betroffen. Tatsächlich waren fast 100 Unternehmen betroffen, darunter auch große Unternehmen und Regierungsbehörden. Der Bybit-Hack im Wert von 1,5 Milliarden US-Dollar, der bis nach Nordkorea zurückverfolgt werden konnte, umfasste auch eine kompromittierte Kryptowährungs-App. Der jüngste Glassworm-Angriff auf die Lieferkette umfasste unsichtbaren, sich selbst replizierenden Code, der den Open VSX Marketplace infizierte.
Verhinderung von Supply-Chain-Exploits
Da Angriffe auf die Lieferkette mit gegenseitigen Abhängigkeiten der Systeme einhergehen, ist für deren Abwehr ein umfassender Ansatz erforderlich. OWASP bietet Tipps zur Abwehr solcher Angriffe, beispielsweise durch die Einführung eines Patch-Management-Prozesses.
- Erfassen Sie alle Software-Stücklisten (SBOM) und verwalten Sie diese zentral. Anstatt SBOMs später unter Verwendung von Standardformaten wie SPDX oder CycloneDX zu generieren, ist es am besten, SBOMs während des Builds zu erstellen und mindestens eine maschinenlesbare SBOM pro Release zu veröffentlichen.
- Verfolgen Sie alle Abhängigkeiten, einschließlich transitorischer Abhängigkeiten, entfernen Sie ungenutzte Abhängigkeiten und löschen Sie unnötige Funktionen, Komponenten, Dateien und Dokumente.
- Verwenden Sie die folgenden Tools, um sowohl clientseitige als auch serverseitige Komponenten und deren Abhängigkeiten kontinuierlich zu inventarisieren: OWASP Dependency Check oder retire.js.
- Beobachten Sie kontinuierlich die folgenden Ursachen, um aktuelle Informationen zu Schwachstellen zu erhalten. Abonnieren Sie E-Mail-Benachrichtigungen zu Sicherheitslücken in den von Ihnen verwendeten Komponenten über die Website „Common Vulnerabilities and Exposures“ (CVE) und die „National Vulnerability Database“ (NVD).
- Verwenden Sie nur Komponenten, die Sie über sichere Links von vertrauenswürdigen Quellen bezogen haben. Ein vertrauenswürdiger Anbieter würde beispielsweise mit Forschern zusammenarbeiten und CVEs offenlegen, die diese in den Komponenten entdeckt haben.
- Wählen Sie die Versionen der verwendeten Abhängigkeiten bewusst aus und führen Sie Upgrades nur bei Bedarf durch. Verwenden Sie Bibliotheken von Drittanbietern, deren Schwachstellen in bekannten Quellen wie NVD veröffentlicht wurden.
- Überwachen Sie Bibliotheken und Komponenten, die nicht gewartet oder unterstützt werden. Wenn Sie keine Patches anwenden können, sollten Sie die Einführung virtueller Patches in Betracht ziehen, um die gefundenen Probleme zu überwachen, zu erkennen oder zu schützen.
- Entwicklertools werden regelmäßig aktualisiert.
- Die Komponenten in der CI/CD-Pipeline werden als Teil dieses Prozesses behandelt, verbessert und überwacht, wobei alle Änderungen dokumentiert werden.
Der Änderungsmanagement- oder Nachverfolgungsprozess muss auch auf CI/CD-Konfigurationen, Code-Repositorys, Sandboxes, integrierte Entwicklungsumgebungen (IDE), SBOM-Tools, erstellte Artefakte, Protokollierungssysteme und -protokolle, SaaS, Artefakt-Repositorys, Container-Registries und andere Integrationen von Drittanbietern angewendet werden.Außerdem muss das System von der Entwickler-Workstation bis zur CI/CD-Pipeline verstärkt werden. Darüber hinaus sollten Sie eine starke Identitäts- und Zugriffsverwaltungspolitik anwenden und die Multi-Faktor-Authentifizierung aktivieren.
Der Schutz vor Störungen in der Software-Lieferkette ist in einer hochgradig vernetzten Welt eine vielschichtige und kontinuierliche Aufgabe. Um sich vor diesen sich rasch entwickelnden modernen Bedrohungen zu schützen, müssen Unternehmen während des gesamten Lebenszyklus ihrer Anwendungen und Komponenten wirksame Abwehrmaßnahmen ergreifen.
SCW Trust Score – Hinweise für Benutzer™:
Bei der Aktualisierung der Inhalte der Lernplattform gemäß den OWASP Top 10 2025-Standards kann es zu geringfügigen Anpassungen des Vertrauenswerts für Full-Stack-Entwickler kommen. Bei Fragen oder für Unterstützung wenden Sie sich bitte an Ihren Kundenerfolgsmanager.
目次
Secure Code Warrior macht sicheres Codieren zu einer positiven und attraktiven Erfahrung, während Entwickler ihre Fähigkeiten verbessern. Es führt jeden einzelnen Programmierer auf den von ihm gewünschten Lernpfad, damit Entwickler mit Sicherheitskenntnissen in unserer vernetzten Welt täglich zu Superhelden werden können.
Secure Code Warrior schützt Ihren Code während des gesamten Softwareentwicklungszyklus und hilft Ihnen dabei, eine Kultur zu schaffen, in der Cybersicherheit oberste Priorität hat. Ganz gleich, ob Sie Anwendungs-Sicherheitsmanager, Entwickler, CISO oder Sicherheitsbeauftragter sind – wir helfen Ihnen dabei, die mit unsicherem Code verbundenen Risiken zu minimieren.
デモを予約[ダウンロード]Ressourcen für den Einstieg
Themen und Inhalte der Secure-Code-Schulung
Unsere branchenführenden Inhalte werden unter Berücksichtigung der Aufgaben unserer Kunden ständig weiterentwickelt, um mit der sich ständig verändernden Softwareentwicklungsumgebung Schritt zu halten. Sie decken alle Themen von KI bis hin zu XQuery-Injection ab und sind für verschiedene Aufgabenbereiche konzipiert, von Architekten und Ingenieuren bis hin zu Produktmanagern und Qualitätssicherungsfachleuten. Werfen Sie einen Blick auf die Inhalte unseres Content-Katalogs, sortiert nach Themen und Aufgabenbereichen.
Die Kamer van Koophandel setzt Maßstäbe für entwicklergesteuerte Sicherheit in großem Maßstab
Die Kamer van Koophandel berichtet, wie sie sicheres Codieren durch rollenbasierte Zertifizierungen, Trust Score-Benchmarking und eine Kultur der gemeinsamen Verantwortung für Sicherheit in die tägliche Entwicklungsarbeit integriert hat.
%20(1).avif)
.avif)
Bedrohungsmodellierung mit KI: So wird jeder Entwickler zum Bedrohungsmodellierer
Sie werden besser gerüstet sein, um Entwicklern dabei zu helfen, Ideen und Techniken zur Bedrohungsmodellierung mit den KI-Tools zu kombinieren, die sie bereits verwenden, um die Sicherheit zu erhöhen, die Zusammenarbeit zu verbessern und von Anfang an widerstandsfähigere Software zu entwickeln.
Ressourcen für den Einstieg
Cybermon ist zurück: Die KI-Mission zum Besiegen des Bosses ist jetzt auf Abruf verfügbar.
「Cybermon 2025 Beat the Boss」 kann nun das ganze Jahr über bei SCW gespielt werden. Führen Sie anspruchsvolle AI/LLM-Sicherheitsherausforderungen ein, um die sichere AI-Entwicklung in großem Maßstab zu stärken.
Erläuterung des Cyber-Resilience-Gesetzes: Bedeutung für die Entwicklung sicherer Software
Erfahren Sie, was das EU-Gesetz zur Cyberresilienz (CRA) verlangt, für wen es gilt und wie sich Ingenieurteams auf Secure-by-Design-Praktiken, Schwachstellenprävention und die Kompetenzentwicklung von Entwicklern vorbereiten können.
Enabler 1: Definierte und messbare Erfolgskriterien
Enabler 1 ist der erste Teil der zehnteiligen Reihe „Enablers of Success“ und zeigt, wie sichere Programmierung mit geschäftlichen Ergebnissen wie Risikominderung und Geschwindigkeit verknüpft werden kann, um Programme langfristig zu optimieren.
