OWASP Top 10 2025: Fehler in der Software-Lieferkette
Mit der mit Spannung erwarteten Ankunft der Top Ten der OWASP 2025, Unternehmen haben eine Reihe neuer Bedrohungen, vor denen sie besonders vorsichtig sein müssen, darunter eine, die ganz oben auf der Liste lauert. Fehler in der Software-Lieferkette, das als neue Kategorie eingeführt wird, aber nicht ganz neu ist, steht auf Platz 3 der vierjährigen Liste der schwerwiegendsten Sicherheitsrisiken für Webanwendungen des Open Web Application Security Project. Es ist ein Risiko, das Unternehmen sehr ernst nehmen müssen, falls sie es nicht bereits sind.
Fehler in der Softwarelieferkette sind aus einer Kategorie in der vorherigen Liste von 2021 hervorgegangen. Anfällige und veraltete Komponenten, und jetzt umfasst es eine breitere Palette von Kompromissen im gesamten Software-Ökosystem aus Abhängigkeiten, Build-Systemen und Vertriebsinfrastrukturen. Und sein Erscheinen auf der Liste sollte angesichts des Schadens, der durch hochkarätige Angriffe auf die Lieferkette verursacht wird, nicht sonderlich überraschen, wie SolarWinds im Jahr 2019 wurde der Bybit-Hack Anfang dieses Jahres, und die laufenden Shai-Hulud-Kampagne, ein besonders fieser, sich selbst replizierender npm-Wurm, der in exponierten Entwicklerumgebungen Chaos anrichtet.
Die OWASP Top Ten waren im Allgemeinen konsistent, was einer Liste entspricht, die alle vier Jahre erscheint, allerdings mit Aktualisierungen dazwischen. Normalerweise gibt es einige Verschiebungen innerhalb der Liste — Injection, ein langjähriger Resident, fällt beispielsweise von Platz 3 auf Platz 5, und Insecure Design fällt um zwei Plätze auf Platz 6, während Security Misconfiguration von Platz 5 auf Platz 2 springt. Broken Access Control sichert sich weiterhin die Spitzenposition. Die Ausgabe 2025 enthält zwei neue Einträge: die bereits erwähnten Fehler in der Softwarelieferkette und die falsche Handhabung außergewöhnlicher Bedingungen, die auf Platz 10 der Liste stehen. Hier werfen wir einen genaueren Blick auf den neuen Eintrag zu Sicherheitslücken in der Lieferkette.
Sicherheitslücken können fast überall auftauchen
Software Supply Chain Failures ist insofern eine etwas ungewöhnliche Kategorie auf der Liste, als sie unter den 10 Einträgen die wenigsten Vorkommen in den Forschungsdaten von OWASP aufwies, aber auch die höchsten durchschnittlichen Exploit- und Impact-Werte aufwies, die sich aus den fünf Common Weakness Enumerations (CWEs) in dieser Kategorie ergeben. OWASP geht davon aus, dass die begrenzte Präsenz dieser Kategorie auf aktuelle Herausforderungen beim Testen dieser Kategorie zurückzuführen ist, was sich letztendlich verbessern könnte. Unabhängig davon nannten die Umfrageteilnehmer mit überwältigender Mehrheit Ausfälle in der Software-Lieferkette als Hauptproblem.
Die meisten Sicherheitslücken in der Lieferkette aus der Vernetzung der Geschäftstätigkeit herauswachsen, an der vor- und nachgelagerte Partner und Dritte beteiligt sind. Jede Interaktion beinhaltet Software, deren Komponenten (auch bekannt als Abhängigkeiten oder Bibliotheken) ungeschützt sein könnten. Ein Unternehmen kann anfällig sein, wenn es nicht alle Versionen seiner eigenen Komponenten (clientseitig, serverseitig oder verschachtelt) sowie transitive Abhängigkeiten (von anderen Bibliotheken) nachverfolgt, um sicherzustellen, dass diese nicht anfällig sind, nicht unterstützt werden oder veraltet sind. Komponenten haben in der Regel dieselben Rechte wie die Anwendung, sodass kompromittierte Komponenten, einschließlich solcher, die von Drittanbietern oder Open-Source-Repositorys stammen, weitreichende Auswirkungen haben können. Rechtzeitige Patches und Updates sind unerlässlich. Selbst regelmäßige monatliche oder vierteljährliche Patchpläne können dazu führen, dass ein Unternehmen tagelang oder monatelang der Gefahr ausgesetzt ist.
Ebenso kann das Fehlen eines Change-Management-Prozesses in Ihrer Lieferkette zu Sicherheitslücken führen, wenn Sie integrierte Entwicklungsumgebungen (IDEs) oder Änderungen an Ihrem Code-Repository, Ihren Image- und Bibliotheksrepositorys oder anderen Teilen der Lieferkette nicht verfolgen. Ein Unternehmen muss die Lieferkette absichern, indem es Zugriffskontrollen und Least-Privilege-Richtlinien anwendet, um sicherzustellen, dass niemand Code erstellen und ihn unbeaufsichtigt in der Produktion einsetzen kann und dass niemand Komponenten aus nicht vertrauenswürdigen Quellen herunterladen kann.
Angriffe auf die Lieferkette können viele Formen annehmen. Der berüchtigte SolarWinds-Angriff begann, als russische Angreifer Malware in ein Update der beliebten Netzwerkverwaltungssoftware des Unternehmens einschleusten. Betroffen waren etwa 18.000 Kunden. Obwohl die Zahl der tatsächlich betroffenen Unternehmen eher bei 100 lag, umfasste diese Liste auch große Unternehmen und Regierungsbehörden. Der Bybit-Hack im Wert von 1,5 Milliarden US-Dollar, der auf Nordkorea zurückgeführt wurde, betraf kompromittierte Kryptowährungs-Apps. Der jüngste Glaswurm Bei einem Angriff auf die Lieferkette war ein unsichtbarer, sich selbst replizierender Code beteiligt, der den Open VSX Marketplace infizierte.
Verhinderung von Exploits in der Lieferkette
Da es bei Angriffen auf die Lieferkette um die gegenseitige Abhängigkeit der Systeme geht, erfordert die Abwehr dieser Angriffe einen umfassenden Ansatz. OWASP bietet Tipps zur Verhinderung von Angriffen, einschließlich der Einrichtung von Patch-Management-Prozessen für:
- Informieren Sie sich über Ihre Software-Stückliste (SBOM) für die gesamte Software und verwalten Sie die SBOM zentral. Es empfiehlt sich, SBOMs während des Builds und nicht später mithilfe von Standardformaten wie SPDX oder CyclonedX zu generieren und mindestens eine maschinenlesbare SBOM pro Version zu veröffentlichen.
- Verfolgen Sie alle Ihre Abhängigkeiten, einschließlich transitiver Abhängigkeiten, und entfernen Sie ungenutzte Abhängigkeiten sowie unnötige Funktionen, Komponenten, Dateien und Dokumentationen.
- Inventarisieren Sie kontinuierlich sowohl client- als auch serverseitige Komponenten und deren Abhängigkeiten mithilfe von Tools wie OWASP-Abhängigkeitsprüfung oder retire.js.
- Bleiben Sie über Sicherheitslücken auf dem Laufenden und überwachen Sie kontinuierlich Quellen wie die Häufige Sicherheitslücken und Sicherheitslücken (CVE) -Website und die Nationale Vulnerabilitätsdatenbank (NVD) und abonnieren Sie E-Mail-Benachrichtigungen über Sicherheitslücken im Zusammenhang mit den von Ihnen verwendeten Komponenten.
- Verwenden Sie Komponenten, die Sie nur aus vertrauenswürdigen Quellen über sichere Links beziehen. Ein vertrauenswürdiger Anbieter wäre beispielsweise bereit, mit einem Forscher zusammenzuarbeiten, um einen CVE zu veröffentlichen, den der Forscher in einer Komponente entdeckt hat.
- Wählen Sie bewusst aus, welche Version einer Abhängigkeit Sie verwenden möchten, und führen Sie das Upgrade nur dann durch, wenn Sie es benötigen. Arbeiten Sie mit Bibliotheken von Drittanbietern, deren Sicherheitslücken in einer bekannten Quelle wie NVD veröffentlicht wurden.
- Überwachen Sie, ob Bibliotheken und Komponenten nicht gewartet oder nicht unterstützt werden. Wenn das Patchen nicht möglich ist, sollten Sie erwägen, einen virtuellen Patch bereitzustellen, um das entdeckte Problem zu überwachen, zu erkennen oder davor zu schützen.
- Aktualisieren Sie regelmäßig die Entwicklertools.
- Behandeln Sie Komponenten in Ihrer CI/CD-Pipeline als Teil dieses Prozesses, indem Sie sie härten und überwachen und gleichzeitig Änderungen dokumentieren.
Change Management oder ein Tracking-Prozess sollten auch für Ihre CI/CD-Einstellungen, Code-Repositorys, Sandboxes, integrierte Entwicklerumgebungen (IDEs), SBOM-Tools, erstellte Artefakte, Logging-Systeme und Logs, Drittanbieter-Integrationen wie SaaS, Artefakt-Repository und Ihre Container-Registry gelten. Sie müssen auch die Systeme absichern — von den Entwicklerarbeitsplätzen bis hin zur CI/CD-Pipeline. Stellen Sie sicher, dass Sie auch die Multifaktor-Authentifizierung aktivieren und gleichzeitig strenge Identitäts- und Zugriffsverwaltungsrichtlinien durchsetzen.
Der Schutz vor Ausfällen der Software-Lieferkette ist angesichts unserer stark vernetzten Welt ein vielschichtiges, kontinuierliches Unterfangen. Unternehmen müssen während des gesamten Lebenszyklus ihrer Anwendungen und Komponenten starke Abwehrmaßnahmen ergreifen, um sich vor dieser sich schnell entwickelnden, modernen Bedrohung zu schützen.
Hinweis zum SCW Trust Score™ Nutzer:
Während wir die Inhalte unserer Lernplattform aktualisieren, um sie an den OWASP Top 10 2025-Standard anzupassen, können Sie geringfügige Anpassungen im Trust Score für Ihre Full-Stack-Entwickler feststellen. Bitte wenden Sie sich an Ihren Kundenbetreuer, wenn Sie Fragen haben oder Unterstützung benötigen.
OWASP Top 10 2025 listet Fehler in der Software-Lieferkette auf Platz #3 auf. Reduzieren Sie dieses schwerwiegende Risiko durch strikte SBOMs, die Nachverfolgung von Abhängigkeiten und die CI/CD-Pipeline-Hardening.
Secure Code Warrior makes secure coding a positive and engaging experience for developers as they increase their skills. We guide each coder along their own preferred learning pathway, so that security-skilled developers become the everyday superheroes of our connected world.
Secure Code Warrior ist für Ihr Unternehmen da, um Ihnen zu helfen, Code während des gesamten Softwareentwicklungszyklus zu sichern und eine Kultur zu schaffen, in der Cybersicherheit an erster Stelle steht. Ganz gleich, ob Sie AppSec-Manager, Entwickler, CISO oder jemand anderes sind, der sich mit Sicherheit befasst, wir können Ihrem Unternehmen helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.
Eine Demo buchen
Secure Code Warrior makes secure coding a positive and engaging experience for developers as they increase their skills. We guide each coder along their own preferred learning pathway, so that security-skilled developers become the everyday superheroes of our connected world.
This article was written by Secure Code Warrior's team of industry experts, committed to empowering developers with the knowledge and skills to build secure software from the start. Drawing on deep expertise in secure coding practices, industry trends, and real-world insights.
Mit der mit Spannung erwarteten Ankunft der Top Ten der OWASP 2025, Unternehmen haben eine Reihe neuer Bedrohungen, vor denen sie besonders vorsichtig sein müssen, darunter eine, die ganz oben auf der Liste lauert. Fehler in der Software-Lieferkette, das als neue Kategorie eingeführt wird, aber nicht ganz neu ist, steht auf Platz 3 der vierjährigen Liste der schwerwiegendsten Sicherheitsrisiken für Webanwendungen des Open Web Application Security Project. Es ist ein Risiko, das Unternehmen sehr ernst nehmen müssen, falls sie es nicht bereits sind.
Fehler in der Softwarelieferkette sind aus einer Kategorie in der vorherigen Liste von 2021 hervorgegangen. Anfällige und veraltete Komponenten, und jetzt umfasst es eine breitere Palette von Kompromissen im gesamten Software-Ökosystem aus Abhängigkeiten, Build-Systemen und Vertriebsinfrastrukturen. Und sein Erscheinen auf der Liste sollte angesichts des Schadens, der durch hochkarätige Angriffe auf die Lieferkette verursacht wird, nicht sonderlich überraschen, wie SolarWinds im Jahr 2019 wurde der Bybit-Hack Anfang dieses Jahres, und die laufenden Shai-Hulud-Kampagne, ein besonders fieser, sich selbst replizierender npm-Wurm, der in exponierten Entwicklerumgebungen Chaos anrichtet.
Die OWASP Top Ten waren im Allgemeinen konsistent, was einer Liste entspricht, die alle vier Jahre erscheint, allerdings mit Aktualisierungen dazwischen. Normalerweise gibt es einige Verschiebungen innerhalb der Liste — Injection, ein langjähriger Resident, fällt beispielsweise von Platz 3 auf Platz 5, und Insecure Design fällt um zwei Plätze auf Platz 6, während Security Misconfiguration von Platz 5 auf Platz 2 springt. Broken Access Control sichert sich weiterhin die Spitzenposition. Die Ausgabe 2025 enthält zwei neue Einträge: die bereits erwähnten Fehler in der Softwarelieferkette und die falsche Handhabung außergewöhnlicher Bedingungen, die auf Platz 10 der Liste stehen. Hier werfen wir einen genaueren Blick auf den neuen Eintrag zu Sicherheitslücken in der Lieferkette.
Sicherheitslücken können fast überall auftauchen
Software Supply Chain Failures ist insofern eine etwas ungewöhnliche Kategorie auf der Liste, als sie unter den 10 Einträgen die wenigsten Vorkommen in den Forschungsdaten von OWASP aufwies, aber auch die höchsten durchschnittlichen Exploit- und Impact-Werte aufwies, die sich aus den fünf Common Weakness Enumerations (CWEs) in dieser Kategorie ergeben. OWASP geht davon aus, dass die begrenzte Präsenz dieser Kategorie auf aktuelle Herausforderungen beim Testen dieser Kategorie zurückzuführen ist, was sich letztendlich verbessern könnte. Unabhängig davon nannten die Umfrageteilnehmer mit überwältigender Mehrheit Ausfälle in der Software-Lieferkette als Hauptproblem.
Die meisten Sicherheitslücken in der Lieferkette aus der Vernetzung der Geschäftstätigkeit herauswachsen, an der vor- und nachgelagerte Partner und Dritte beteiligt sind. Jede Interaktion beinhaltet Software, deren Komponenten (auch bekannt als Abhängigkeiten oder Bibliotheken) ungeschützt sein könnten. Ein Unternehmen kann anfällig sein, wenn es nicht alle Versionen seiner eigenen Komponenten (clientseitig, serverseitig oder verschachtelt) sowie transitive Abhängigkeiten (von anderen Bibliotheken) nachverfolgt, um sicherzustellen, dass diese nicht anfällig sind, nicht unterstützt werden oder veraltet sind. Komponenten haben in der Regel dieselben Rechte wie die Anwendung, sodass kompromittierte Komponenten, einschließlich solcher, die von Drittanbietern oder Open-Source-Repositorys stammen, weitreichende Auswirkungen haben können. Rechtzeitige Patches und Updates sind unerlässlich. Selbst regelmäßige monatliche oder vierteljährliche Patchpläne können dazu führen, dass ein Unternehmen tagelang oder monatelang der Gefahr ausgesetzt ist.
Ebenso kann das Fehlen eines Change-Management-Prozesses in Ihrer Lieferkette zu Sicherheitslücken führen, wenn Sie integrierte Entwicklungsumgebungen (IDEs) oder Änderungen an Ihrem Code-Repository, Ihren Image- und Bibliotheksrepositorys oder anderen Teilen der Lieferkette nicht verfolgen. Ein Unternehmen muss die Lieferkette absichern, indem es Zugriffskontrollen und Least-Privilege-Richtlinien anwendet, um sicherzustellen, dass niemand Code erstellen und ihn unbeaufsichtigt in der Produktion einsetzen kann und dass niemand Komponenten aus nicht vertrauenswürdigen Quellen herunterladen kann.
Angriffe auf die Lieferkette können viele Formen annehmen. Der berüchtigte SolarWinds-Angriff begann, als russische Angreifer Malware in ein Update der beliebten Netzwerkverwaltungssoftware des Unternehmens einschleusten. Betroffen waren etwa 18.000 Kunden. Obwohl die Zahl der tatsächlich betroffenen Unternehmen eher bei 100 lag, umfasste diese Liste auch große Unternehmen und Regierungsbehörden. Der Bybit-Hack im Wert von 1,5 Milliarden US-Dollar, der auf Nordkorea zurückgeführt wurde, betraf kompromittierte Kryptowährungs-Apps. Der jüngste Glaswurm Bei einem Angriff auf die Lieferkette war ein unsichtbarer, sich selbst replizierender Code beteiligt, der den Open VSX Marketplace infizierte.
Verhinderung von Exploits in der Lieferkette
Da es bei Angriffen auf die Lieferkette um die gegenseitige Abhängigkeit der Systeme geht, erfordert die Abwehr dieser Angriffe einen umfassenden Ansatz. OWASP bietet Tipps zur Verhinderung von Angriffen, einschließlich der Einrichtung von Patch-Management-Prozessen für:
- Informieren Sie sich über Ihre Software-Stückliste (SBOM) für die gesamte Software und verwalten Sie die SBOM zentral. Es empfiehlt sich, SBOMs während des Builds und nicht später mithilfe von Standardformaten wie SPDX oder CyclonedX zu generieren und mindestens eine maschinenlesbare SBOM pro Version zu veröffentlichen.
- Verfolgen Sie alle Ihre Abhängigkeiten, einschließlich transitiver Abhängigkeiten, und entfernen Sie ungenutzte Abhängigkeiten sowie unnötige Funktionen, Komponenten, Dateien und Dokumentationen.
- Inventarisieren Sie kontinuierlich sowohl client- als auch serverseitige Komponenten und deren Abhängigkeiten mithilfe von Tools wie OWASP-Abhängigkeitsprüfung oder retire.js.
- Bleiben Sie über Sicherheitslücken auf dem Laufenden und überwachen Sie kontinuierlich Quellen wie die Häufige Sicherheitslücken und Sicherheitslücken (CVE) -Website und die Nationale Vulnerabilitätsdatenbank (NVD) und abonnieren Sie E-Mail-Benachrichtigungen über Sicherheitslücken im Zusammenhang mit den von Ihnen verwendeten Komponenten.
- Verwenden Sie Komponenten, die Sie nur aus vertrauenswürdigen Quellen über sichere Links beziehen. Ein vertrauenswürdiger Anbieter wäre beispielsweise bereit, mit einem Forscher zusammenzuarbeiten, um einen CVE zu veröffentlichen, den der Forscher in einer Komponente entdeckt hat.
- Wählen Sie bewusst aus, welche Version einer Abhängigkeit Sie verwenden möchten, und führen Sie das Upgrade nur dann durch, wenn Sie es benötigen. Arbeiten Sie mit Bibliotheken von Drittanbietern, deren Sicherheitslücken in einer bekannten Quelle wie NVD veröffentlicht wurden.
- Überwachen Sie, ob Bibliotheken und Komponenten nicht gewartet oder nicht unterstützt werden. Wenn das Patchen nicht möglich ist, sollten Sie erwägen, einen virtuellen Patch bereitzustellen, um das entdeckte Problem zu überwachen, zu erkennen oder davor zu schützen.
- Aktualisieren Sie regelmäßig die Entwicklertools.
- Behandeln Sie Komponenten in Ihrer CI/CD-Pipeline als Teil dieses Prozesses, indem Sie sie härten und überwachen und gleichzeitig Änderungen dokumentieren.
Change Management oder ein Tracking-Prozess sollten auch für Ihre CI/CD-Einstellungen, Code-Repositorys, Sandboxes, integrierte Entwicklerumgebungen (IDEs), SBOM-Tools, erstellte Artefakte, Logging-Systeme und Logs, Drittanbieter-Integrationen wie SaaS, Artefakt-Repository und Ihre Container-Registry gelten. Sie müssen auch die Systeme absichern — von den Entwicklerarbeitsplätzen bis hin zur CI/CD-Pipeline. Stellen Sie sicher, dass Sie auch die Multifaktor-Authentifizierung aktivieren und gleichzeitig strenge Identitäts- und Zugriffsverwaltungsrichtlinien durchsetzen.
Der Schutz vor Ausfällen der Software-Lieferkette ist angesichts unserer stark vernetzten Welt ein vielschichtiges, kontinuierliches Unterfangen. Unternehmen müssen während des gesamten Lebenszyklus ihrer Anwendungen und Komponenten starke Abwehrmaßnahmen ergreifen, um sich vor dieser sich schnell entwickelnden, modernen Bedrohung zu schützen.
Hinweis zum SCW Trust Score™ Nutzer:
Während wir die Inhalte unserer Lernplattform aktualisieren, um sie an den OWASP Top 10 2025-Standard anzupassen, können Sie geringfügige Anpassungen im Trust Score für Ihre Full-Stack-Entwickler feststellen. Bitte wenden Sie sich an Ihren Kundenbetreuer, wenn Sie Fragen haben oder Unterstützung benötigen.
Mit der mit Spannung erwarteten Ankunft der Top Ten der OWASP 2025, Unternehmen haben eine Reihe neuer Bedrohungen, vor denen sie besonders vorsichtig sein müssen, darunter eine, die ganz oben auf der Liste lauert. Fehler in der Software-Lieferkette, das als neue Kategorie eingeführt wird, aber nicht ganz neu ist, steht auf Platz 3 der vierjährigen Liste der schwerwiegendsten Sicherheitsrisiken für Webanwendungen des Open Web Application Security Project. Es ist ein Risiko, das Unternehmen sehr ernst nehmen müssen, falls sie es nicht bereits sind.
Fehler in der Softwarelieferkette sind aus einer Kategorie in der vorherigen Liste von 2021 hervorgegangen. Anfällige und veraltete Komponenten, und jetzt umfasst es eine breitere Palette von Kompromissen im gesamten Software-Ökosystem aus Abhängigkeiten, Build-Systemen und Vertriebsinfrastrukturen. Und sein Erscheinen auf der Liste sollte angesichts des Schadens, der durch hochkarätige Angriffe auf die Lieferkette verursacht wird, nicht sonderlich überraschen, wie SolarWinds im Jahr 2019 wurde der Bybit-Hack Anfang dieses Jahres, und die laufenden Shai-Hulud-Kampagne, ein besonders fieser, sich selbst replizierender npm-Wurm, der in exponierten Entwicklerumgebungen Chaos anrichtet.
Die OWASP Top Ten waren im Allgemeinen konsistent, was einer Liste entspricht, die alle vier Jahre erscheint, allerdings mit Aktualisierungen dazwischen. Normalerweise gibt es einige Verschiebungen innerhalb der Liste — Injection, ein langjähriger Resident, fällt beispielsweise von Platz 3 auf Platz 5, und Insecure Design fällt um zwei Plätze auf Platz 6, während Security Misconfiguration von Platz 5 auf Platz 2 springt. Broken Access Control sichert sich weiterhin die Spitzenposition. Die Ausgabe 2025 enthält zwei neue Einträge: die bereits erwähnten Fehler in der Softwarelieferkette und die falsche Handhabung außergewöhnlicher Bedingungen, die auf Platz 10 der Liste stehen. Hier werfen wir einen genaueren Blick auf den neuen Eintrag zu Sicherheitslücken in der Lieferkette.
Sicherheitslücken können fast überall auftauchen
Software Supply Chain Failures ist insofern eine etwas ungewöhnliche Kategorie auf der Liste, als sie unter den 10 Einträgen die wenigsten Vorkommen in den Forschungsdaten von OWASP aufwies, aber auch die höchsten durchschnittlichen Exploit- und Impact-Werte aufwies, die sich aus den fünf Common Weakness Enumerations (CWEs) in dieser Kategorie ergeben. OWASP geht davon aus, dass die begrenzte Präsenz dieser Kategorie auf aktuelle Herausforderungen beim Testen dieser Kategorie zurückzuführen ist, was sich letztendlich verbessern könnte. Unabhängig davon nannten die Umfrageteilnehmer mit überwältigender Mehrheit Ausfälle in der Software-Lieferkette als Hauptproblem.
Die meisten Sicherheitslücken in der Lieferkette aus der Vernetzung der Geschäftstätigkeit herauswachsen, an der vor- und nachgelagerte Partner und Dritte beteiligt sind. Jede Interaktion beinhaltet Software, deren Komponenten (auch bekannt als Abhängigkeiten oder Bibliotheken) ungeschützt sein könnten. Ein Unternehmen kann anfällig sein, wenn es nicht alle Versionen seiner eigenen Komponenten (clientseitig, serverseitig oder verschachtelt) sowie transitive Abhängigkeiten (von anderen Bibliotheken) nachverfolgt, um sicherzustellen, dass diese nicht anfällig sind, nicht unterstützt werden oder veraltet sind. Komponenten haben in der Regel dieselben Rechte wie die Anwendung, sodass kompromittierte Komponenten, einschließlich solcher, die von Drittanbietern oder Open-Source-Repositorys stammen, weitreichende Auswirkungen haben können. Rechtzeitige Patches und Updates sind unerlässlich. Selbst regelmäßige monatliche oder vierteljährliche Patchpläne können dazu führen, dass ein Unternehmen tagelang oder monatelang der Gefahr ausgesetzt ist.
Ebenso kann das Fehlen eines Change-Management-Prozesses in Ihrer Lieferkette zu Sicherheitslücken führen, wenn Sie integrierte Entwicklungsumgebungen (IDEs) oder Änderungen an Ihrem Code-Repository, Ihren Image- und Bibliotheksrepositorys oder anderen Teilen der Lieferkette nicht verfolgen. Ein Unternehmen muss die Lieferkette absichern, indem es Zugriffskontrollen und Least-Privilege-Richtlinien anwendet, um sicherzustellen, dass niemand Code erstellen und ihn unbeaufsichtigt in der Produktion einsetzen kann und dass niemand Komponenten aus nicht vertrauenswürdigen Quellen herunterladen kann.
Angriffe auf die Lieferkette können viele Formen annehmen. Der berüchtigte SolarWinds-Angriff begann, als russische Angreifer Malware in ein Update der beliebten Netzwerkverwaltungssoftware des Unternehmens einschleusten. Betroffen waren etwa 18.000 Kunden. Obwohl die Zahl der tatsächlich betroffenen Unternehmen eher bei 100 lag, umfasste diese Liste auch große Unternehmen und Regierungsbehörden. Der Bybit-Hack im Wert von 1,5 Milliarden US-Dollar, der auf Nordkorea zurückgeführt wurde, betraf kompromittierte Kryptowährungs-Apps. Der jüngste Glaswurm Bei einem Angriff auf die Lieferkette war ein unsichtbarer, sich selbst replizierender Code beteiligt, der den Open VSX Marketplace infizierte.
Verhinderung von Exploits in der Lieferkette
Da es bei Angriffen auf die Lieferkette um die gegenseitige Abhängigkeit der Systeme geht, erfordert die Abwehr dieser Angriffe einen umfassenden Ansatz. OWASP bietet Tipps zur Verhinderung von Angriffen, einschließlich der Einrichtung von Patch-Management-Prozessen für:
- Informieren Sie sich über Ihre Software-Stückliste (SBOM) für die gesamte Software und verwalten Sie die SBOM zentral. Es empfiehlt sich, SBOMs während des Builds und nicht später mithilfe von Standardformaten wie SPDX oder CyclonedX zu generieren und mindestens eine maschinenlesbare SBOM pro Version zu veröffentlichen.
- Verfolgen Sie alle Ihre Abhängigkeiten, einschließlich transitiver Abhängigkeiten, und entfernen Sie ungenutzte Abhängigkeiten sowie unnötige Funktionen, Komponenten, Dateien und Dokumentationen.
- Inventarisieren Sie kontinuierlich sowohl client- als auch serverseitige Komponenten und deren Abhängigkeiten mithilfe von Tools wie OWASP-Abhängigkeitsprüfung oder retire.js.
- Bleiben Sie über Sicherheitslücken auf dem Laufenden und überwachen Sie kontinuierlich Quellen wie die Häufige Sicherheitslücken und Sicherheitslücken (CVE) -Website und die Nationale Vulnerabilitätsdatenbank (NVD) und abonnieren Sie E-Mail-Benachrichtigungen über Sicherheitslücken im Zusammenhang mit den von Ihnen verwendeten Komponenten.
- Verwenden Sie Komponenten, die Sie nur aus vertrauenswürdigen Quellen über sichere Links beziehen. Ein vertrauenswürdiger Anbieter wäre beispielsweise bereit, mit einem Forscher zusammenzuarbeiten, um einen CVE zu veröffentlichen, den der Forscher in einer Komponente entdeckt hat.
- Wählen Sie bewusst aus, welche Version einer Abhängigkeit Sie verwenden möchten, und führen Sie das Upgrade nur dann durch, wenn Sie es benötigen. Arbeiten Sie mit Bibliotheken von Drittanbietern, deren Sicherheitslücken in einer bekannten Quelle wie NVD veröffentlicht wurden.
- Überwachen Sie, ob Bibliotheken und Komponenten nicht gewartet oder nicht unterstützt werden. Wenn das Patchen nicht möglich ist, sollten Sie erwägen, einen virtuellen Patch bereitzustellen, um das entdeckte Problem zu überwachen, zu erkennen oder davor zu schützen.
- Aktualisieren Sie regelmäßig die Entwicklertools.
- Behandeln Sie Komponenten in Ihrer CI/CD-Pipeline als Teil dieses Prozesses, indem Sie sie härten und überwachen und gleichzeitig Änderungen dokumentieren.
Change Management oder ein Tracking-Prozess sollten auch für Ihre CI/CD-Einstellungen, Code-Repositorys, Sandboxes, integrierte Entwicklerumgebungen (IDEs), SBOM-Tools, erstellte Artefakte, Logging-Systeme und Logs, Drittanbieter-Integrationen wie SaaS, Artefakt-Repository und Ihre Container-Registry gelten. Sie müssen auch die Systeme absichern — von den Entwicklerarbeitsplätzen bis hin zur CI/CD-Pipeline. Stellen Sie sicher, dass Sie auch die Multifaktor-Authentifizierung aktivieren und gleichzeitig strenge Identitäts- und Zugriffsverwaltungsrichtlinien durchsetzen.
Der Schutz vor Ausfällen der Software-Lieferkette ist angesichts unserer stark vernetzten Welt ein vielschichtiges, kontinuierliches Unterfangen. Unternehmen müssen während des gesamten Lebenszyklus ihrer Anwendungen und Komponenten starke Abwehrmaßnahmen ergreifen, um sich vor dieser sich schnell entwickelnden, modernen Bedrohung zu schützen.
Hinweis zum SCW Trust Score™ Nutzer:
Während wir die Inhalte unserer Lernplattform aktualisieren, um sie an den OWASP Top 10 2025-Standard anzupassen, können Sie geringfügige Anpassungen im Trust Score für Ihre Full-Stack-Entwickler feststellen. Bitte wenden Sie sich an Ihren Kundenbetreuer, wenn Sie Fragen haben oder Unterstützung benötigen.
Klicken Sie auf den Link unten und laden Sie das PDF dieser Ressource herunter.
Secure Code Warrior ist für Ihr Unternehmen da, um Ihnen zu helfen, Code während des gesamten Softwareentwicklungszyklus zu sichern und eine Kultur zu schaffen, in der Cybersicherheit an erster Stelle steht. Ganz gleich, ob Sie AppSec-Manager, Entwickler, CISO oder jemand anderes sind, der sich mit Sicherheit befasst, wir können Ihrem Unternehmen helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.
Bericht ansehenEine Demo buchen
Secure Code Warrior makes secure coding a positive and engaging experience for developers as they increase their skills. We guide each coder along their own preferred learning pathway, so that security-skilled developers become the everyday superheroes of our connected world.
This article was written by Secure Code Warrior's team of industry experts, committed to empowering developers with the knowledge and skills to build secure software from the start. Drawing on deep expertise in secure coding practices, industry trends, and real-world insights.
Mit der mit Spannung erwarteten Ankunft der Top Ten der OWASP 2025, Unternehmen haben eine Reihe neuer Bedrohungen, vor denen sie besonders vorsichtig sein müssen, darunter eine, die ganz oben auf der Liste lauert. Fehler in der Software-Lieferkette, das als neue Kategorie eingeführt wird, aber nicht ganz neu ist, steht auf Platz 3 der vierjährigen Liste der schwerwiegendsten Sicherheitsrisiken für Webanwendungen des Open Web Application Security Project. Es ist ein Risiko, das Unternehmen sehr ernst nehmen müssen, falls sie es nicht bereits sind.
Fehler in der Softwarelieferkette sind aus einer Kategorie in der vorherigen Liste von 2021 hervorgegangen. Anfällige und veraltete Komponenten, und jetzt umfasst es eine breitere Palette von Kompromissen im gesamten Software-Ökosystem aus Abhängigkeiten, Build-Systemen und Vertriebsinfrastrukturen. Und sein Erscheinen auf der Liste sollte angesichts des Schadens, der durch hochkarätige Angriffe auf die Lieferkette verursacht wird, nicht sonderlich überraschen, wie SolarWinds im Jahr 2019 wurde der Bybit-Hack Anfang dieses Jahres, und die laufenden Shai-Hulud-Kampagne, ein besonders fieser, sich selbst replizierender npm-Wurm, der in exponierten Entwicklerumgebungen Chaos anrichtet.
Die OWASP Top Ten waren im Allgemeinen konsistent, was einer Liste entspricht, die alle vier Jahre erscheint, allerdings mit Aktualisierungen dazwischen. Normalerweise gibt es einige Verschiebungen innerhalb der Liste — Injection, ein langjähriger Resident, fällt beispielsweise von Platz 3 auf Platz 5, und Insecure Design fällt um zwei Plätze auf Platz 6, während Security Misconfiguration von Platz 5 auf Platz 2 springt. Broken Access Control sichert sich weiterhin die Spitzenposition. Die Ausgabe 2025 enthält zwei neue Einträge: die bereits erwähnten Fehler in der Softwarelieferkette und die falsche Handhabung außergewöhnlicher Bedingungen, die auf Platz 10 der Liste stehen. Hier werfen wir einen genaueren Blick auf den neuen Eintrag zu Sicherheitslücken in der Lieferkette.
Sicherheitslücken können fast überall auftauchen
Software Supply Chain Failures ist insofern eine etwas ungewöhnliche Kategorie auf der Liste, als sie unter den 10 Einträgen die wenigsten Vorkommen in den Forschungsdaten von OWASP aufwies, aber auch die höchsten durchschnittlichen Exploit- und Impact-Werte aufwies, die sich aus den fünf Common Weakness Enumerations (CWEs) in dieser Kategorie ergeben. OWASP geht davon aus, dass die begrenzte Präsenz dieser Kategorie auf aktuelle Herausforderungen beim Testen dieser Kategorie zurückzuführen ist, was sich letztendlich verbessern könnte. Unabhängig davon nannten die Umfrageteilnehmer mit überwältigender Mehrheit Ausfälle in der Software-Lieferkette als Hauptproblem.
Die meisten Sicherheitslücken in der Lieferkette aus der Vernetzung der Geschäftstätigkeit herauswachsen, an der vor- und nachgelagerte Partner und Dritte beteiligt sind. Jede Interaktion beinhaltet Software, deren Komponenten (auch bekannt als Abhängigkeiten oder Bibliotheken) ungeschützt sein könnten. Ein Unternehmen kann anfällig sein, wenn es nicht alle Versionen seiner eigenen Komponenten (clientseitig, serverseitig oder verschachtelt) sowie transitive Abhängigkeiten (von anderen Bibliotheken) nachverfolgt, um sicherzustellen, dass diese nicht anfällig sind, nicht unterstützt werden oder veraltet sind. Komponenten haben in der Regel dieselben Rechte wie die Anwendung, sodass kompromittierte Komponenten, einschließlich solcher, die von Drittanbietern oder Open-Source-Repositorys stammen, weitreichende Auswirkungen haben können. Rechtzeitige Patches und Updates sind unerlässlich. Selbst regelmäßige monatliche oder vierteljährliche Patchpläne können dazu führen, dass ein Unternehmen tagelang oder monatelang der Gefahr ausgesetzt ist.
Ebenso kann das Fehlen eines Change-Management-Prozesses in Ihrer Lieferkette zu Sicherheitslücken führen, wenn Sie integrierte Entwicklungsumgebungen (IDEs) oder Änderungen an Ihrem Code-Repository, Ihren Image- und Bibliotheksrepositorys oder anderen Teilen der Lieferkette nicht verfolgen. Ein Unternehmen muss die Lieferkette absichern, indem es Zugriffskontrollen und Least-Privilege-Richtlinien anwendet, um sicherzustellen, dass niemand Code erstellen und ihn unbeaufsichtigt in der Produktion einsetzen kann und dass niemand Komponenten aus nicht vertrauenswürdigen Quellen herunterladen kann.
Angriffe auf die Lieferkette können viele Formen annehmen. Der berüchtigte SolarWinds-Angriff begann, als russische Angreifer Malware in ein Update der beliebten Netzwerkverwaltungssoftware des Unternehmens einschleusten. Betroffen waren etwa 18.000 Kunden. Obwohl die Zahl der tatsächlich betroffenen Unternehmen eher bei 100 lag, umfasste diese Liste auch große Unternehmen und Regierungsbehörden. Der Bybit-Hack im Wert von 1,5 Milliarden US-Dollar, der auf Nordkorea zurückgeführt wurde, betraf kompromittierte Kryptowährungs-Apps. Der jüngste Glaswurm Bei einem Angriff auf die Lieferkette war ein unsichtbarer, sich selbst replizierender Code beteiligt, der den Open VSX Marketplace infizierte.
Verhinderung von Exploits in der Lieferkette
Da es bei Angriffen auf die Lieferkette um die gegenseitige Abhängigkeit der Systeme geht, erfordert die Abwehr dieser Angriffe einen umfassenden Ansatz. OWASP bietet Tipps zur Verhinderung von Angriffen, einschließlich der Einrichtung von Patch-Management-Prozessen für:
- Informieren Sie sich über Ihre Software-Stückliste (SBOM) für die gesamte Software und verwalten Sie die SBOM zentral. Es empfiehlt sich, SBOMs während des Builds und nicht später mithilfe von Standardformaten wie SPDX oder CyclonedX zu generieren und mindestens eine maschinenlesbare SBOM pro Version zu veröffentlichen.
- Verfolgen Sie alle Ihre Abhängigkeiten, einschließlich transitiver Abhängigkeiten, und entfernen Sie ungenutzte Abhängigkeiten sowie unnötige Funktionen, Komponenten, Dateien und Dokumentationen.
- Inventarisieren Sie kontinuierlich sowohl client- als auch serverseitige Komponenten und deren Abhängigkeiten mithilfe von Tools wie OWASP-Abhängigkeitsprüfung oder retire.js.
- Bleiben Sie über Sicherheitslücken auf dem Laufenden und überwachen Sie kontinuierlich Quellen wie die Häufige Sicherheitslücken und Sicherheitslücken (CVE) -Website und die Nationale Vulnerabilitätsdatenbank (NVD) und abonnieren Sie E-Mail-Benachrichtigungen über Sicherheitslücken im Zusammenhang mit den von Ihnen verwendeten Komponenten.
- Verwenden Sie Komponenten, die Sie nur aus vertrauenswürdigen Quellen über sichere Links beziehen. Ein vertrauenswürdiger Anbieter wäre beispielsweise bereit, mit einem Forscher zusammenzuarbeiten, um einen CVE zu veröffentlichen, den der Forscher in einer Komponente entdeckt hat.
- Wählen Sie bewusst aus, welche Version einer Abhängigkeit Sie verwenden möchten, und führen Sie das Upgrade nur dann durch, wenn Sie es benötigen. Arbeiten Sie mit Bibliotheken von Drittanbietern, deren Sicherheitslücken in einer bekannten Quelle wie NVD veröffentlicht wurden.
- Überwachen Sie, ob Bibliotheken und Komponenten nicht gewartet oder nicht unterstützt werden. Wenn das Patchen nicht möglich ist, sollten Sie erwägen, einen virtuellen Patch bereitzustellen, um das entdeckte Problem zu überwachen, zu erkennen oder davor zu schützen.
- Aktualisieren Sie regelmäßig die Entwicklertools.
- Behandeln Sie Komponenten in Ihrer CI/CD-Pipeline als Teil dieses Prozesses, indem Sie sie härten und überwachen und gleichzeitig Änderungen dokumentieren.
Change Management oder ein Tracking-Prozess sollten auch für Ihre CI/CD-Einstellungen, Code-Repositorys, Sandboxes, integrierte Entwicklerumgebungen (IDEs), SBOM-Tools, erstellte Artefakte, Logging-Systeme und Logs, Drittanbieter-Integrationen wie SaaS, Artefakt-Repository und Ihre Container-Registry gelten. Sie müssen auch die Systeme absichern — von den Entwicklerarbeitsplätzen bis hin zur CI/CD-Pipeline. Stellen Sie sicher, dass Sie auch die Multifaktor-Authentifizierung aktivieren und gleichzeitig strenge Identitäts- und Zugriffsverwaltungsrichtlinien durchsetzen.
Der Schutz vor Ausfällen der Software-Lieferkette ist angesichts unserer stark vernetzten Welt ein vielschichtiges, kontinuierliches Unterfangen. Unternehmen müssen während des gesamten Lebenszyklus ihrer Anwendungen und Komponenten starke Abwehrmaßnahmen ergreifen, um sich vor dieser sich schnell entwickelnden, modernen Bedrohung zu schützen.
Hinweis zum SCW Trust Score™ Nutzer:
Während wir die Inhalte unserer Lernplattform aktualisieren, um sie an den OWASP Top 10 2025-Standard anzupassen, können Sie geringfügige Anpassungen im Trust Score für Ihre Full-Stack-Entwickler feststellen. Bitte wenden Sie sich an Ihren Kundenbetreuer, wenn Sie Fragen haben oder Unterstützung benötigen.
Inhaltsverzeichniss
Secure Code Warrior makes secure coding a positive and engaging experience for developers as they increase their skills. We guide each coder along their own preferred learning pathway, so that security-skilled developers become the everyday superheroes of our connected world.
Secure Code Warrior ist für Ihr Unternehmen da, um Ihnen zu helfen, Code während des gesamten Softwareentwicklungszyklus zu sichern und eine Kultur zu schaffen, in der Cybersicherheit an erster Stelle steht. Ganz gleich, ob Sie AppSec-Manager, Entwickler, CISO oder jemand anderes sind, der sich mit Sicherheit befasst, wir können Ihrem Unternehmen helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.
Eine Demo buchenHerunterladenRessourcen für den Einstieg
Themen und Inhalte der Securecode-Schulung
Unsere branchenführenden Inhalte werden ständig weiterentwickelt, um der sich ständig ändernden Softwareentwicklungslandschaft unter Berücksichtigung Ihrer Rolle gerecht zu werden. Themen, die alles von KI bis XQuery Injection abdecken und für eine Vielzahl von Rollen angeboten werden, von Architekten und Ingenieuren bis hin zu Produktmanagern und QA. Verschaffen Sie sich einen kleinen Einblick in das Angebot unseres Inhaltskatalogs nach Themen und Rollen.
%20(1).avif)
.avif)
Threat Modeling with AI: Turning Every Developer into a Threat Modeler
Walk away better equipped to help developers combine threat modeling ideas and techniques with the AI tools they're already using to strengthen security, improve collaboration, and build more resilient software from the start.
Ressourcen für den Einstieg
Cybermon is back: Beat the Boss KI-Missionen jetzt auf Abruf verfügbar
Cybermon 2025 Beat the Boss ist jetzt das ganze Jahr über in SCW verfügbar. Setzt fortschrittliche KI/LLM-Sicherheitsanforderungen ein, um die sichere KI-Entwicklung in einem großen Maßstab zu stärken.
Cyber-Resilienz-Gesetz erklärt: Was das für die Entwicklung von Secure by Design-Software bedeutet
Erfahren Sie, was der EU Cyber Resilience Act (CRA) verlangt, für wen er gilt und wie sich Entwicklungsteams mit sicheren Methoden, der Vorbeugung von Sicherheitslücken und dem Aufbau von Fähigkeiten für Entwickler darauf vorbereiten können.
