„2018 State of the Software Supply Chain Report“ von Sonatype: Der Einsatz gefährdeter Open-Source-Komponenten verzeichnet einen Anstieg von 120 %

<p><a class="bbcode_url" href="https://www.sonatype.com/… target="_blank" rel="noopener noreferrer">Sonatype</a> veröffentlicht heute seinen vierten jährlichen "State of the Software Supply Chain Report", aus dem hervorgeht, dass Software-Entwickler in den letzten 12 Monaten mehr als 300 Milliarden Open Source-Komponenten heruntergeladen haben und dass 1 von 8 dieser Komponenten bekannte Sicherheitslücken enthielt.

Der umfassende Benchmark-Bericht enthält eine Kombination aus öffentlichen und proprietären Daten, mit denen Muster und Vorgehensweisen untersucht wurden, die modernen Software-Lieferketten und der Entwicklung von Open-Source-Software (OSS) zugrunde liegen. Die wichtigsten Ergebnisse des diesjährigen Berichts:</p> <ul class="bbcode_list"> <li><strong>Verwaltete Software Supply Chains sind 2-mal effizienter und 2-mal sicherer</strong> <ul class="bbcode_list"> <li>Automatisierte OSS-Sicherheitsverfahren reduzieren das Auftreten von Sicherheitslücken um 50 %</li> <li>Die Wahrscheinlichkeit, dass DevOps-Teams Open-Source-Governance einhalten, ist bei der Automatisierung von Sicherheitsrichtlinien um 90 % höher
</li> </ul> </li> <li><strong>Das Zeitfenster, um auf Schwachstellen zu reagieren, schrumpft rapide</strong> <ul class="bbcode_list"> <li>In den letzten zehn Jahren hat sich die Zeit vom Bekanntwerden bis zur Ausnutzung eines Open-Source-Sicherheitsproblems um 400 % von durchschnittlich 45 Tagen auf nur noch 3 Tage verringert
</li> </ul> </li> <li><strong>Hacker beginnen gezielt Software Supply Chains anzugreifen</strong> <ul class="bbcode_list"> <li>Innerhalb der letzten 18 Monate hat eine Serie von 11 Ereignissen eine ernsthafte Eskalation der Angriffe auf Software-Lieferketten ausgelöst</li> <li>Diese Angriffe, bei denen Hacker Sicherheitslücken direkt in Open-Source-Projekte injizieren, repräsentieren eine neue Dimension im Kampf um die Sicherheit von Software-Anwendungen
</li> </ul> </li> <li><strong>Der Industrie fehlen vernünftige Open-Source-Kontrollen</strong> <ul class="bbcode_list"> <li>Für 1,3 Millionen Schwachstellen in OSS-Komponenten gibt es keine entsprechenden CVE-Sicherheitshinweise in der öffentlichen National Vulnerability Database (NVD)</li> <li>62 % der Unternehmen geben an, keine wirksame Kontrolle darüber zu haben, welche OSS-Komponenten in ihren Anwendungen verwendet werden
</li> </ul> </li> <li><strong>Die Regierungsbehörden greifen ein, weil die Unternehmen Schwierigkeiten mit der Selbstkontrolle haben</strong> <ul class="bbcode_list"> <li>19 verschiedene Regierungsorganisationen auf der ganzen Welt haben sich für eine verbesserte OSS-Sicherheit und -Governance ausgesprochen
</li> </ul> </li> <li><strong>Angebot und Nachfrage nach Open Source sind unverändert hoch</strong> <ul class="bbcode_list"> <li>Mehr als 15.000 neue oder aktualisierte Open-Source-Releases werden den Entwicklern täglich zur Verfügung gestellt</li> <li>Im Jahr 2017 hat ein durchschnittliches Unternehmen 170.000 Java-Komponenten heruntergeladen, das sind 36 % mehr als im Vorjahr</li> </ul> </li> </ul> <p><strong>Unterstützende Zitate:</strong>

<em>Wayne Jackson, CEO, Sonatype</em>

"Während Open Source in zunehmender Geschwindigkeit auf den Höhepunkt seines Wertes zusteuert, sind die Grundlagen des Ökosystems und der unterstützenden Infrastruktur zunehmend gefährdet. Eine Reihe von prominenten und verheerenden Cyberangriffen im vergangenen Jahr haben die Intention und das Potenzial der Ausnutzung von Sicherheitsschwachstellen in Software-Lieferketten aufzeigt. Unser diesjähriger Bericht beweist jedoch, dass eine sichere Software-Entwicklung nicht unerreichbar ist. Die Applikations-Ökonomie kann in regulierten, sicheren Umgebungen wachsen und gedeihen, wenn sie richtig verwaltet wird."</p> <p><em>Gene Kim, CTO, Forscher und Co-Autor von "The Phoenix Project" und "The DevOps Handbook", sowie Gründer von IT Revolution</em>

"Wir leben in einer Zeit, in der ein Großteil der von uns gelieferten Software nicht von uns geschrieben wird, sondern auf eine riesige und weit verzweigte Software-Lieferkette von Open-Source-Komponenten angewiesen ist. So wertvoll Open-Source-Software auch geworden ist, es gibt erhebliche und versteckte wirtschaftliche Risiken bei der Nutzung dieser Software-Abhängigkeiten. Einer der aussagekräftigsten Indikatoren ist, dass einige der bekanntesten Sicherheitsverletzungen des letzten Jahres darauf zurückzuführen waren, dass nicht die aktuellsten Komponentenversionen verwendet wurden, wodurch Software-Schwachstellen mit verheerender Wirkung ausgenutzt werden konnten. Dieser Bericht verdeutlicht, wie wichtig das Ökosystem der Open-Source-Komponenten für uns alle ist und er zeigt die großen Unterschiede in der praktischen Anwendung sowohl bei den Herstellern als auch bei den Verbrauchern von Open-Source-Software".

<em>Kevin E. Greene, Principal Software Assurance Engineer, The MITRE Corporation</em>

"Wir beobachten immer mehr Sicherheitslücken in Open-Source-Software, die aufgrund einer Gravitationskraft, welche im Laufe der Zeit Funktionen, Komplexität und technische Verschuldung anzieht, nur schwer rechtzeitig zu patchen sind. Leider hat sich dadurch die Verbrauchsrate von Open-Source-Software durch die Entwickler nicht verändert. Dies entspricht meiner Meinung nach einem wachsenden Problem, nämlich dass Entwickler sich der Vorstellung hingegeben haben, dass alle Software anfällig ist und bekannte Schwachstellen aufweist. Wir müssen den Entwicklern bessere Lieferkettenoptionen bieten, bei denen Qualität und Sicherheit im Vordergrund stehen."

<em>DJ Schleen, Sicherheitsarchitekt und DevSecOps Idealist, Fortune 50 Insurance Corporation</em>

"Noch vor einem Jahrzehnt haben Sie unter die Motorhaube der Software geschaut, die Ihr Unternehmen gekauft hat, und eine Blackbox gesehen. Heute haben wir die Möglichkeit, die Motorhaube zu öffnen, um den Motor und alle seine Teile zu sehen. Verbraucher und leistungsstarke DevOps-Organisationen sollten nicht das Risiko eingehen, bekannte gefährdete Open-Source-Komponenten in ihren Produkten zu haben. Während neue gesetzliche Vorgaben das Problem angehen, hätten sich gute Unternehmen bereits selbst darum kümmern sollen."

<em>Hasan Yasar, Technischer Leiter und Mitglied der außerordentlichen Fakultät, Carnegie Mellon University</em>

"Im Jahre 476 v. Chr. sagte Meister Sun (The Art of War, Sunzi Sun Tzu): "Erkenne dich selbst, kenne deinen Feind und du wirst hundert Schlachten ohne Verlust gewinnen." Dasselbe gilt für die Software-Entwicklung im Jahr 2018. Wenn wir (selbst) wissen, was wir in unserem Code haben – einschließlich OSS – und wissen, wo Schwachstellen sind (unser Feind), dann können wir sichere Software erstellen. Der diesjährige "State of the Software Supply Chain Report" zeigt erneut, dass OSS-Schwachstellen exponentiell zunehmen. Wir können das Problem nicht mehr einfach ignorieren, wir müssen den Feind kennen, um es zu bezwingen."

<em>Scott Crawford, Forschungsdirektor – Informationssicherheit, 451 Research</em>

"Wie bei jeder Technologie bieten Open-Source-Software-Komponenten viele einzigartige Vorteile.  Sie bergen jedoch auch ihre eigenen Risiken: Lizenzprobleme und die Gefährdung durch erkannte Sicherheitslücken sind zwei der bekanntesten. Bevor ein Unternehmen diese Risiken beurteilen kann, ist eine genaue und aktuelle Bestandsaufnahme der OSS-Komponenten erforderlich. Der diesjährige Bericht "State of the Software Supply Chain" zeigt, dass zu viele Unternehmen immer noch an dieser elementarsten Form der Cyber-Hygiene scheitern. Tatsächlich gaben mehr als 62 % zu, keine wirksame Kontrolle darüber zu haben, welche OSS-Komponenten in ihren Anwendungen verwendet werden."</p> <p><strong>Über den State of the Software Supply Chain Report</strong>

Der "2018 State of the Software Supply Chain Report" verbindet eine breite Palette öffentlicher und proprietärer Daten mit kompetenter Forschung und Analysen. Der diesjährige Bericht hebt neue Methoden hervor, mit denen Cyberkriminelle Software-Lieferketten infiltrieren, bietet erweiterte Analysen über Sprachen und Ökosysteme hinweg und untersucht eingehender, wie sich gesetzliche Vorgaben auf die Zukunft der Software-Entwicklung auswirken können.

<strong>Zusätzliche Ressourcen</strong></p> <ul class="bbcode_list"> <li>Lesen Sie den <a class="bbcode_url" href="https://www.sonatype.com/… target="_blank" rel="noopener noreferrer">"2018 State of the Software Supply Chain Report"</a></li> <li>Lesen Sie unseren <a class="bbcode_url" href="https://blog.sonatype.com/… target="_blank" rel="noopener noreferrer">Blog</a></li> <li>Erstellen Sie kostenlos eine <a class="bbcode_url" href="https://www.sonatype.com/… target="_blank" rel="noopener noreferrer">Software Bill of Materials</a></li> <li>Erfahren Sie mehr über die Sonatype <a class="bbcode_url" href="https://www.sonatype.com/… target="_blank" rel="noopener noreferrer">Software-Supply-Chain-Automatisierungslösungen
</a></li> </ul>

Originalmeldung direkt auf PresseBox lesen
Mehr von Firma PresseBox

E-Mail-Verschlüsselung bleibt sicher

Am 14.05.2018 veröffentlichte ein Team aus Sicherheitsforschern der Fachhochschule Münster, der Ruhr Universität Bochum und der Universität Leuven (Belgien) einen Bericht, der die Sicherheit der Verschlüsselungsstandards PGP und S/MIME in Frage stellt und damit weltweites Aufsehen erregt. Die aufgedeckten Sicherheitslücken (CVE-2017-17688 und CVE-2017-17689) betreffen jedoch nicht die Protokolle selbst, sondern nutzen eine bereits länger bekannte Schwachstelle in E-Mail-Clients, um verschlüsselte E-Mails zu entschlüsseln und dem Angreifer zuzustellen. Die Angriffe sind technisch komplex und benötigen mehrere Schritte zur erfolgreichen Umsetzung.

Erste Voraussetzung für einen erfolgreichen Angriff: Die E-Mail muss bereits in verschlüsselter Form beim Angreifer vorliegen. Hierfür muss er die E-Mails auf dem Transportweg per "Man-in-the-Middle"-Attacke abfangen oder einen Mailserver kompromittiert haben.

Anschließend könnten die Angreifer laut den Autoren des Papers zwei sich ähnelnde Angriffsmethoden anwenden, um E-Mails mit vorhandener PGP- oder S/MIME-Verschlüsselung zu entschlüsseln. Der erste Angriff ist recht simpel auszuführen, dafür aber auf bestimmte Mail-Clients (Apple-Mail, iOS-Mail, Mozilla Thunderbird) und ggf. dort installierte Plugins von Drittanbietern beschränkt. Die zweite Möglichkeit, um PGP- oder S/MIME-verschlüsselte E-Mails auszulesen, besteht aus einer schon länger bekannten Methode zum Extrahieren von Plaintext in Blöcken verschlüsselter Nachrichten. Bei beiden Arten werden die abgefangenen verschlüsselten E-Mails manipuliert.

Wichtig bei diesen beiden Angriffsmethoden ist, dass die Verschlüsselungsmethoden S/MIME und PGP selbst nicht gebrochen werden; vielmehr nutzen sie Schwachstellen in E-Mail-Clients für HTML-Mails aus, um die Verschlüsselungstechniken zu umgehen.

"Die Darstellung, PGP und S/MIME seien nicht mehr sicher, erweist der IT-Sicherheit einen Bärendienst", sagt Oliver Dehning, Leiter der TeleTrusT-AG "Cloud Security" und Geschäftsführer des Cloud-Security-Anbieters Hornetsecurity. "Sie läuft allen Bemühungen zuwider, die Sicherheit des Kommunikationsmittels E-Mail zu erhöhen. Die Empfehlung diverser Sicherheitsforscher nach genereller Deaktivierung von Inhaltsverschlüsselung ist nicht nachvollziehbar. Das Gegenteil ist richtig: E-Mail-Verschlüsselung erhöht die Sicherheit und sollte unbedingt eingesetzt werden."

Auch das Bundesamt für Sicherheit in der Informationstechnik weist darauf hin, dass PGP und S/MIME weiterhin sicher eingesetzt werden können, wenn sie korrekt implementiert und sicher konfiguriert sind.

Originalmeldung direkt auf PresseBox lesen
Mehr von Firma PresseBox

Sonatype macht Nexus Firewall für 10 Millionen Entwickler verfügbar

Sonatype, der führende Anbieter von Open Source Governance und DevSecOps Automation, gab heute bekannt, dass Nexus Firewall nun verfügbar ist, um die mehr als 10 Millionen Entwickler zu unterstützen, die derzeit die Open Source Version von Nexus Repository verwenden. Bisher nur für kommerzielle Anwender von Nexus Repository Pro verfügbar, bietet die neueste Version von Nexus Firewall allen Nexus Repo-Anwendern die Möglichkeit, anfällige Open-Source-Komponenten automatisch daran zu hindern, in eine DevOps-Pipeline einzudringen.

Laut "State of the Software Supply Chain Report" enthielten im Jahr 2016 7,2 % (1 von 14) der Open-Source-Komponenten, die in Repository-Manager heruntergeladen wurden, eine bekannte Sicherheitslücke. Unternehmen mit nicht existierenden oder manuellen Governance-Prozessen sind anfällig für gefährdete Open-Source-Komponenten, die ihren Weg in produktive Webanwendungen finden, was das Risiko von Datenschutzverletzungen drastisch erhöht.

"Entwickler verwenden Open-Source-Komponenten gerne, um Innovationen zu beschleunigen – aber keiner von ihnen möchte unwissentlich Sicherheitslücken in seine Anwendung einbauen", so Brian Fox, CTO von Sonatype. "Nexus Firewall verhindert automatisch, dass defekte Open-Source-Komponenten die Entwickler erreichen, wodurch Risiken bereits in der frühesten Phase des Entwicklungszyklus eliminiert werden. Die Ergebnisse sind unglaublich. Innerhalb der ersten 90 Tage nach dem Einsatz von Nexus Firewall konnte ein Kunde automatisch verhindern, dass 1.500 anfällige Komponenten in den Entwicklungszyklus eindringen konnten. Somit konnten 34.000 Stunden manueller Überprüfungen eliminiert werden."

"Anstatt zu warten, bis eine Anwendung zusammengesetzt ist, um diese bekannten Schwachstellen zu scannen und zu identifizieren, sollten Sie dieses Problem an der Quelle beheben, indem Sie die Entwickler warnen, diese bekannt anfälligen Komponenten nicht herunterzuladen und zu verwenden (und im Falle schwerwiegender Schwachstellen den Download zu blockieren)", schrieben die Gartner-Analysten Neil MacDonald und Ian Head in ihrem Bericht vom 3. Oktober 2017, "10 Things to Get Right for Successful DevSecOps“. "Um dieses Problem zu beheben, bieten einige Hersteller eine ‚OSS-Firewall‘ (Sonatype Nexus Firewall) an, um Entwicklern den Sicherheitsstatus von Bibliotheken aufzuzeigen, damit sie fundierte Entscheidungen über die zu verwendenden Versionen treffen zu können. Mit diesem Ansatz kann der Entwickler Downloads von Komponenten und Bibliotheken mit bekannten, schwerwiegenden Schwachstellen (z. B. basierend auf dem Schweregrad des zugewiesenen CVE) explizit blockieren.

Nexus Firewall ist jetzt für alle Nexus Repository OSS-Benutzer verfügbar. Zu den Vorteilen zählen:

  • Automatisierte Open-Source-Governance-Richtlinien zum frühestmöglichen Zeitpunkt im Lebenszyklus der Softwareentwicklung.
  • Verhindern, dass anfällige Open-Source-Komponenten in Ihre Software-Lieferkette gelangen, indem sie am Perimeter blockiert und unter Quarantäne gestellt werden.

Ressourcen:

  • Sehen Sie sich ein Video an, das Nexus Firewall in Aktion demonstriert.
  • Lesen Sie unsere neuesten Blogpost über Nexus Firewall.
  • Schauen Sie sich unsere Firewall Infographics an.

Originalmeldung direkt auf PresseBox lesen
Mehr von Firma PresseBox