Open Source hat ein Malwareproblem

Lesezeit
weniger als
1 Minute
Bis jetzt gelesen

Open Source hat ein Malwareproblem

15.10.2024 - 07:31
Veröffentlicht in:

Sonatype hat seinen zehnten jährlichen "State of the Software Supply Chain Report" veröffentlicht, der die zunehmenden Bedrohungen durch Open-Source-Malware und Sicherheitsrisiken in der Software-Lieferkette deutlich macht. Der Report, der auf Daten von über sieben Millionen Open-Source-Projekten basiert, beleuchtet die Entwicklungen der letzten Dekade und zeigt signifikante Risiken auf, die die Lieferkette gefährden.

2024 markiert laut dem "Annual State of the Software Supply Chain Report" von Sonatype ein Rekordjahr, in dem die Nutzung von freier Software schätzungsweise 6,6 Billionen Downloads erreicht. Die Verbreitung von Open-Source-Malware stellt jedoch ein wachsendes Problem dar: Im Vergleich zum Vorjahr stieg die Anzahl bösartiger Pakete um 156 Prozent, was seit 2019 zu mehr als 700.000 identifizierten gefährlichen Paketen führte. Trotz dieses Anstiegs mahnt der Report, dass viele Sicherheitslücken nicht zeitnah geschlossen werden. Einige kritische Schwachstellen blieben über 500 Tage offen, während 80 Prozent der Anwendungsabhängigkeiten über ein Jahr lang nicht aktualisiert wurden – obwohl für die meisten Pakete gefixte Versionen verfügbar waren.

Die Untersuchung zeigt ferner, dass Open-Source-Projekte mit kostenpflichtigem Support weniger Sicherheitslücken aufweisen und diese schneller beheben. Solche Projekte verfügen laut Sonatype dreimal häufiger über umfassende Sicherheitsstrategien als solche ohne Unterstützung. Zudem fördert eine zunehmend strengere Gesetzgebung, insbesondere durch die Einführung der EU-Richtlinie NIS2, die Verwendung von Software-Bill-of-Materials (SBOMs), die zur Stärkung der Softwaresicherheit beitragen sollen.

Ähnliche Beiträge

Ransomware-Akteure kooperieren mit organisierter Kriminalität

Trend Micro hat sich in einer neuen Studie mit zu erwartenden Veränderungen im Bereich Ransomware beschäftigt. So prognostizieren die Bedrohungsexperten ein mögliche Expansion der Cyberkriminellen in andere illegale Geschäftsmodelle und deren Zusammenschluss mit dem organisierten Verbrechen oder staatlichen Akteuren.
Google belohnt Schwachstellen-Schnüffler Lars Nitsch Di., 29.10.2024 - 07:28
Google hat sein "Cloud Vulnerability Reward Program" ins Leben gerufen, um Schwachstellen in seinen Clouddiensten proaktiv zu identifizieren und zu beheben. Das Programm richtet sich an White-Hat-Hacker, die potenzielle Sicherheitslücken in Produkten wie Google Kubernetes Engine, Google Compute Engine und weiteren Diensten aufdecken und melden. Je nach Ausmaß der gefundenen Einfallstore winken Belohnung von bis zu 100.000 US-Dollar.