Sonatype, Plattform für die Sicherheit von Software-Lieferketten, hat seinen 10. State of the Software Supply Chain Report veröffentlicht. Als erstes Unternehmen überhaupt hat Sonatype Open-Source-Daten der letzten zehn Jahre umfassend analysiert und gewährt der Branche damit wertvolle Einblicke.
Gestützt auf Daten von mehr als 7 Millionen Open-Source-Projekten widmet sich der diesjährige Report der wachsenden Bedrohung durch Open-Source-Malware und dem Risiko in der Software-Lieferkette – in einem Jahr, in dem die Open-Source-Nutzung ein Rekordniveau erreicht und 2024 schätzungsweise 6,6 Billionen Downloads verzeichnet. Zu den wichtigsten Ergebnissen des Berichts gehören:
- Der Daten-Verbrauch wächst rasant: Python (PyPI) verzeichnete einen Anstieg von 80 % im Vergleich zum Vorjahr und erreichte mehr als 530 Billionen Paketanfragen. Die Downloads von JavaScript (npm) stiegen im Vergleich zum Vorjahr um 70 % auf 4,5 Billionen Anfragen an.
- Open-Source-Malware breitet sich immer weiter aus: Sonatype stellte im Vergleich zum Vorjahr einen Anstieg der Anzahl bösartiger Pakete um 156 % fest. Seit 2019 wurden mehr als 700.000 Pakete identifiziert.
- Publisher kommen mit der Behebung von Sicherheitslücken nicht hinterher: Da die Anzahl der bekannten Schwachstellen (sogenannte CVEs, Common Vulnerabilities and Exposures) exponentiell weiter steigt, wurden einige kritische Sicherheitslücken über 500 Tage nicht geschlossen. Dies deutet darauf hin, dass Verantwortliche Schwierigkeiten haben, den großen Rückstau abzuarbeiten.
- Bequemlichkeit führt zu anhaltenden Risiken: Obwohl für mehr als 99 % der Pakete aktualisierte Versionen verfügbar sind, werden 80 % der Anwendungsabhängigkeiten mehr als ein Jahr lang nicht aktualisiert. Und das, obwohl in 95 % der Fälle, in denen anfällige Softwarekomponenten verwendet werden, bereits eine gefixte Version existiert.
- Finanzielle Unterstützung stärkt die Software-Lieferkette: Bei Open-Source-Projekten mit kostenpflichtigem Support ist es dreimal wahrscheinlicher, dass sie über eine umfassende Sicherheitsstrategie verfügen. Außerdem werden bei Komponenten mit kostenpflichtigem Support offene Schwachstellen um bis zu 45 % schneller behoben und weisen insgesamt nur halb so viele Schwachstellen auf.
- Die Gesetzgeber schließen auf: In der EU wird diesen Monat die Richtlinie über Netz- und Informationssysteme (NIS2) eingeführt. Auch Indien und Australien erlässt neue Vorschriften. Diese Maßnahmen fördern die Einführung von SBOMs: Im letzten Jahr wurden mehr als 60.000 veröffentlicht.
„In den letzten zehn Jahren haben wir beobachtet, dass die Angriffe auf die Software-Lieferkette, insbesondere durch den Anstieg von Open-Source-Malware, immer ausgefeilter und zahlreicher geworden sind, während Publisher und Anwender in puncto Sicherheit eher untätig geblieben sind“, so Brian Fox, CTO und Mitbegründer von Sonatype. „Um ein lebendiges und sicheres Open-Source-Ökosystem für das kommende Jahrzehnt zu garantieren, müssen wir ein Fundament aus proaktiver Sicherheit mit erhöhter Sensibilität gegen Open-Source-Malware, weniger Nachlässigkeit der Verbraucher und umfassendem Abhängigkeitsmanagement schaffen.“
Den vollständigen Report finden Sie hier.
(pd/Sonatype)