Acht Tipps, um sich gegen Supply Chain Attacks zu wappnen

Portrait von Volker Jebramek

veröffentlicht am 31.01.2022
geschrieben von Volker Jebramek

Acht Tipps, um sich gegen Supply Chain Attacks zu wappnen.

Es ist wirklich ärgerlich: Supply Chain Attacks haben in den letzten drei Jahren enorm zugenommen. Hacker greifen dabei nicht einzelne Unternehmen separat an, sondern haben es auf Schwachstellen in den Produkten von Drittanbietern abgesehen. Diese nutzen sie aus, um ihre Schadsoftware zum Beispiel durch die Hintertür eines Updates in die Netzwerke all derjenigen zu schleusen, die die Software des Drittanbieters einsetzen.

Auch in der Anwendungsprogrammierung wird das immer mehr zu einer ernsthaften Bedrohung. Trotz der Zunahme an Paketen war das verteilte System bisher durch die Augen vieler in einem Gleichgewicht. Ein Entwickler / eine Entwicklerin war in der Lage in einem Projekt alle Abhängigkeiten zu kontrollieren.

Doch leider ist dieses Gleichgewicht nicht mehr vorhanden. Auf einen Entwickler / eine Entwicklerin kommen derzeit pro Projekt eine unübersichtliche Anzahl an Abhängigkeiten.

Weiterhin sind im globalen Kontext sowohl die Entwicklungsgeschwindigkeit als auch die schiere Anzahl an Paketen sehr stark gestiegen. Das hat zur Folge, dass auch hier keine angemessene Kontrolle durch die Community gewährleistet werden kann.

Resultat: Kontrolle verschiebt sich zu Vertrauen — und Vertrauen wird ausgenutzt!

Wir lieben Open Source, wollen aber nicht blind in ein Minenfeld laufen.

Wir bei stadt.werk entwickeln Software, die auf Web-Technologien basiert. Daher ist uns die wachsende Bedrohung durch Supply Chain Attacks nur zu bewusst. Wir lieben Open Source, nutzen diese und beteiligen uns an ihr, wo wir können. Doch wir wollen und dürfen dabei nicht mit blindem Vertrauen in ein wachsendes Minenfeld laufen.

Was also tun?

Es gibt Mechanismen, die selbst Einpersonen-Teams leicht umsetzen können. Dazu zählen zum Beispiel die Nutzung von “Dependency-Lock” Dateien, die es für alle möglichen Paketsysteme gibt, sowie eine bewusste und konservative Updatepolitik.

Hier unsere acht Tipps, um dem Problem zunehmender Supply Chain Attacks in Open Source-Software zu begegnen:

  1. Pflegt eine “Dependency-Lock” Datei!
  2. Macht ein regelmäßiges Audit!
  3. Macht ein Update, um das Audit glücklich zu machen!
  4. Macht keine automatischen Updates (auf Vertrauensbasis)!
  5. Macht ein Update nach dem anderen und schaut vorher in die Issues!
  6. Benutzt, wenn möglich, nur Pakete, die eine hohe 1-n haben!
  7. Behaltet kleine, wenig genutzte Pakete im Auge, insbesondere bei einem Maintainer-Wechsel!
  8. Macht nur bei realen Featurebedarf ein Update!

Mehr zum Thema:

Threat Landscape for Supply Chain Attacks