Supply-Chain-Angriffe verhindern

7 Tools, die Ihre Softwarelieferkette absichern

16.05.2022
Von  und
Ericka ist freiberufliche Journalistin mit langjähriger Erfahrung im Cybersecurity-Umfeld. Sie schreibt unter anderem für unsere US-Schwesterpublikation CSO Online.


Florian beschäftigt sich mit vielen Themen rund um Technologie und Management. Daneben betätigt er sich auch in sozialen Netzen.
(Software-) Supply-Chain-Angriffe können verheerende Wirkung entfalten. Diese Tools unterstützen Sie dabei, Ihre Softwarelieferkette abzusichern.
Zahlreiche aufsehenerregende Cyberangriffe haben die Absicherung der Softwarelieferkette in den Fokus gerückt. Diese Tools können gegen Software-Supply-Chain-Angriffe helfen.
Zahlreiche aufsehenerregende Cyberangriffe haben die Absicherung der Softwarelieferkette in den Fokus gerückt. Diese Tools können gegen Software-Supply-Chain-Angriffe helfen.
Foto: Image Flow - shutterstock.com

Wie (nicht nur) die Log4J-Schwachstellen Anfang 2022 gezeigt haben, manifestieren sich die größten Risiken in Sachen Enterprise Software heute nicht mehr unbedingt in unsicherem Code, der intern entwickelt wird. Stattdessen liegen sie in den Open-Source-Komponenten und -Bibliotheken, die heute das Gros der Codebasen ausmachen.

(Software) Lieferketten in Gefahr

Eine moderne Applikation besteht heute größtenteils aus Code von Drittanbietern: Laut den Marktforschern von Forrester ist der Anteil von Open-Source-Code an der Codebasis einer durchschnittlichen Anwendung von 36 Prozent im Jahr 2015 auf 75 Prozent im Jahr 2020 angestiegen. Diese Vorgehensweise ermöglicht es Unternehmen, schneller zu entwickeln und besser zu skalieren. Sie birgt aber - wie jede technologische Innovation - auch zusätzliche Cyberrisiken, wenn sie nicht mit der notwendigen Sorgfalt eingesetzt wird.

Dass die übernommenen Komponenten veraltet und mit Schwachstellen behaftet sein können, sind dabei nicht die einzigen Probleme: Schwachstellen können oft ineinander verschachtelt sein, da sie möglicherweise mit diversen anderen Projekten verknüpft sind. Sicherheitslücken in der Softwarelieferkette können die Sicherheit von Unternehmen massiv gefährden, vor allem wenn Unternehmen nichts unternehmen, um formell zu regeln, wie ihre Entwickler die Software Supply Chain nutzen. In vielen Fällen werden Komponenten, Bibliotheken und Entwickler-Tools weder überprüft noch evaluiert oder gewartet. Einer Studie der Linux Foundation zufolge, verwendet weniger als die Hälfte der befragten Unternehmen eine Software Bill of Materials (SBOM), in der genau festgehalten wird, welche Bestandteile der Softwarelieferkette in Anwendungen einfließen.

7 Tools gegen Software-Supply-Chain-Angriffe

Wir haben sieben Tools für Sie zusammengestellt, die Sie dabei unterstützen, Ihre Softwarelieferkette abzusichern. Dabei haben wir den Fokus auf Werkzeuge für die Software Composition Analysis (SCA) gelegt, die sich dediziert der Entwicklung von SBOMs widmen, mehr Transparenz in die Software Supply Chain tragen und Schwachstellen in Komponenten beheben.

Contrast Security

Contrast Security hat es sich zur Aufgabe gemacht, die Kluft zwischen Entwicklern und Sicherheitsteams zu überwinden und gehört zu den wichtigsten Akteuren auf dem DevSecOps-Markt. Das Unternehmen ist vor allem für seine Interactive Application Security Testing (IAST)-Technologie bekannt. Diese spürt über einen Agenten, der auf dem Anwendungsserver läuft, Schwachstellen in Anwendungen auf. Contrast Security bietet im Rahmen seiner offenen Plattform die ganze Bandbreite an Testing-Funktionalitäten (DAST, SAST, RAST, etc.) - inklusive SCA-Funktionen.

Das Tool kann nicht nur eine Software Bill of Materials generieren, sondern auch Schwachstellen über die verschiedenen Bestandteile einer Anwendung hinweg kontextualisieren. Dazu visualisiert es Anwendungsarchitektur, Codebäume und Message Flow und unterstützt so bei der Remediation von Threat-Modellen.

Shiftleft

Das Tool von Shiftleft - einem Newcomer in diesem Bereich - fügt sich in die Entwicklungs-Workflows von DevOps Teams ein. Der Fokus liegt dabei darauf, SCA und Static Application Security Testing (SAST) in einem einzigen Scan zusammenzuführen, der absolviert wird, sobald ein Developer einen Pull Request stellt.

Um Abhängigkeiten und Datenflüsse über benutzerdefinierten Code, Open-Source-Bibliotheken, SDKs und APIs hinweg abzubilden, nutzt das Tool die sogenannte "Code Property Graph"-Technologie. Dabei wird die gesamte Applikation nicht nur auf Sicherheitslücken, sondern auch auf allgemeine, logische Schwachstellen abgeklopft. Werden Schwachstellen in der Supply Chain gefunden, werden diese nach Risiko priorisiert. Zusätzlich wird die Softwarestückliste um einen Reachability-Index ergänzt, der die Angreifbarkeit der Komponente in Abhängigkeit von ihrer Verwendung in der Anwendung einordnet.

Snyk

Das Cloud-native, entwicklerzentrierte Toolset Snyk wurde speziell für Unternehmen entwickelt, die auf DevSecOps und Cloud-native setzen. Der Anbieter hat sich vor allem mit Software Composition Analysis und Container-Sicherheit einen Namen gemacht, bietet aber auch Lösungen für SAST und API Vulnerability Testing.

Im Februar 2022 kaufte das Unternehmen Fugue, einen Anbieter für Cloud Security Posture Management. Laut den Marktforschern von Gartner "ist die Mischung aus Angeboten für Infrastructure as Code Security, Container Security und Application Security repräsentativ für die Tatsache, dass Anwendungs- und Infrastrukturebenen zunehmend miteinander verschwimmen."

Sonatype Nexus

Der Sicherheitsanbieter Sonatype gehört auf dem SCA-Markt zu den Pionieren und bezeichnete sich selbst schon als "Software Supply Chain Security"-Unternehmen, lange bevor die Softwarelieferkette im Rahmen schlagzeilenträchtiger Angriffe in den Fokus der Technologiebranche rückte

Das Herzstück von Sonatypes Nexus-Plattform bilden Funktionen, um detaillierte SBOMs zu erstellen und Richtlinien zu managen. Insbesondere letztgenanntes Feature sehen die Analysten von Forrester als Stärke des Anbieters, dank sofort einsatzbereiter Richtlinien, die sich an einer Reihe von Standards orientieren und einer Policy-Engine, die den Anwendern ermöglicht, benutzerdefinierte Richtlinien für bestimmte Anwendungen aufzusetzen. Diese Richtlinien können nicht nur auf den Code selbst (beziehungsweise seine Komponenten) angewandt werden, sondern auch, um umgebende IaC-Komponenten und Container abzusichern und zu konfigurieren. Darüber hinaus bietet Sonatype auch Repository Management, um eine Single Source of Truth für alle Komponenten, Binärdateien und Build-Artefakte zu schaffen. Die Visualisierung der Komponentenhistorie von Nexus sowie der Kundenservice sind laut Forrester weitere Stärken des Anbieters.

Synopsys Black Duck

Das SCA-Tool Black Duck analysiert Abhängigkeiten, Codeprint, Binärcode und Snippets, um die Softwarekomponenten von Unternehmen zu tracken und zu managen. Anbieter Synopsis hat zudem die Funktion zur Erstellung von Softwarestücklisten optimiert und bietet mit seinem Tool auch automatisiertes Policy Management.

Black Duck ist Teil eines breiteren Anwendungssicherheits-Portfolios von Synopsys, das Gartner in seinem aktuellen Magic Quadrant für Application Security Testing als führend einstuft. "Das offene Plattformmodell, das neben SCA auch DAST, SAST, Penetrationstests, Fuzzing und eine Reihe anderer Testing-Funktionalitäten zur Verfügung stellt, ist ein wichtiges Wertversprechen. Es macht Synopsys zu einer guten Wahl für Unternehmen mit komplexer Multiteam-Entwicklung, die einen Mix aus Entwicklungsstilen und Programmiertechnologien verwenden", so Gartner.

Veracode

Sicherheitsanbieter Veracode hat in den letzten Jahren stark in SCA investiert. Nach der Übernahme von SourceClear im Jahr 2018 dauert es einige Zeit, das Portfolio zu konsolidieren - inzwischen steht mit Veracode Software Composition Analysis ein singuläres Produkt in diesem Bereich über die Plattform des Anbieters zur Verfügung.

"Die Roadmap von Veracode konzentriert sich auf die Vereinheitlichung der SAST- und SCA-Funktionen in der Entwicklungsumgebung und darauf, Container- und IaC-Sicherheitsfunktionen zu optimieren", erklärt Forrester. Highlights sind den Analysten zufolge Remediation-Reports und die Visualisierung von Abhängigkeiten. Reibungspunkte gebe es hingegen bei der Integration der Lösung in die Entwickler-Workflows.

WhiteSource Software

Die SCA-Tools von WhiteSource Software beheben Sicherheitsprobleme innerhalb von Komponenten und sind entwicklerfreundlich gestaltet.

Forrester stuft den Anbieter im SCA-Bereich als führend ein: "WhiteSource bietet differenzierende Funktionen, darunter ein Browser-Plugin, das dabei hilft, problematische Komponenten zu vermeiden und nicht erreichbare Schwachstellen aus der Entwicklerwarteschlange zu entfernen, um die Developer Experience zu verbessern." Ein Punkt, in dem WhiteSource nach der Einschätzung der Analysten hinterherhinkt: fehlende Out-of-the-Box-Richtlinien.

Dieser Beitrag basiert auf einem Artikel unserer US-Schwesterpublikation CSO Online.