Sicherheit in der Lieferkette beschreibt die Notwendigkeit, Ihr Unternehmen vor Hackern zu schützen, die versuchen, Software bereits in der Produktionsphase zu kompromittieren.
Bis vor kurzem stellte die Kompromittierung von Software während der Produktion kein nennenswertes Risiko dar - Hacker konzentrierten sich noch auf andere Möglichkeiten, in Systeme einzudringen. Jetzt werden sie einfallsreicher und finden neue Wege für Angriffe.
Stellen Sie sich vor, Sie erstellen eine Website in WordPress. Sie beginnen mit der Auswahl von Plug-ins und gehen davon aus, dass diese sicher sind. Aber was, wenn sie es nicht sind? Software befindet sich in einem ständigen Zustand des Verfalls - ich bezeichne dies als . Wenn also der Entwickler die Software das letzte Mal vor einem Jahr überprüft hat, ist sie jetzt höchstwahrscheinlich unbrauchbar. Sie müssen jeden Tag Updates durchführen", sagt Marcel de Vries, CEO von Xpirit. "Erinnern Sie sich noch an den Spruch 'Wenn es nicht kaputt ist, reparieren Sie es nicht'? Nun, damit kommen Sie nicht mehr durch.
Sicherheit der Lieferkette in der Praxis
Die Sicherheit der Lieferkette nimmt aus zwei Gründen zu: Wir alle werden immer abhängiger von Software, und gleichzeitig werden die Hacker immer kreativer (und geschickter). Während wir unsere Sicherheit verbessern, suchen sie nach neuen Wegen, um einzudringen.
Nehmen wir an, Sie sind dabei, eine Website oder eine Anwendung zu erstellen und wählen zunächst ein Paket mit Softwarekomponenten aus, das 1500 Abhängigkeiten enthält. Ein kurzer Scan wird Ihnen zeigen, dass dieses Paket 23 Sicherheitslücken aufweist. Wenn Sie sich dessen nicht bewusst sind und nicht die richtigen Maßnahmen ergreifen, wird sich diese Zahl innerhalb einer Woche leicht verdoppeln.
Dies ist also eine Botschaft an alle Softwareentwickler: 2023 ist das Jahr, in dem Sie Ihren Modus Operandi ändern sollten! Anstatt zu denken, dass es in Ordnung ist, einmal im Jahr zu aktualisieren, sollten Sie eine ständige Verbesserungsschleife einrichten. Und wenn Sie uns fragen, ist DevOps der perfekte erste Schritt in diese Richtung.
Microsoft Dev Box und GitHub
Hacker werden weiterhin nach neuen Wegen suchen. Wenn es nicht die Anwendung selbst ist, dann ist es die Entwicklungsumgebung. Wir haben gesehen, wie Unternehmen darauf reagiert haben, indem sie die Berechtigungen von Entwicklern einschränkten - was oft dazu führte, dass sie ihre Arbeit nicht mehr machen konnten. Als letzten Ausweg arbeiten sie dann von ihren eigenen Laptops aus, was noch riskanter ist.
Warum also nicht Microsoft Dev Box oder GitHub CodeSpaces ausprobieren? Kurz gesagt, diese brandneuen Entwicklerarbeitsplätze in Azure und GitHub werden das Leben Ihrer Entwickler um einiges einfacher und ihre Produkte um einiges sicherer machen. Eine weitere Möglichkeit, die Sicherheit Ihrer Software zu erhöhen, ist das Scannen von Software auf Schwachstellen in GitHub Actions oder Azure DevOps Pipelines.
Was könnte passieren, wenn Sie diesen Ratschlag ignorieren?
Wenn Sie glauben, dass der Ausfall Ihrer Website das Schlimmste ist, was Ihrem Unternehmen passieren kann, dann irren Sie sich! Wenn wir uns jetzt zurücklehnen, werden schlimme Dinge passieren. Es ist nur eine Frage der Zeit, vor allem jetzt, wo die meisten Dinge, die wir benutzen, mit dem Internet verbunden sind. Stellen Sie sich vor, die Software Ihres Autos wird gehackt! Sicherheit ist nicht länger ein Vorteil oder ein Alleinstellungsmerkmal, sondern ein Hygienefaktor. Wenn Sie hier nicht alles im Griff haben, ist das ein ernsthafter Grund zur Unzufriedenheit.
Kurz gesagt: Wir raten jedem Softwareentwickler, seine Software zu überprüfen, bekannte Schwachstellen zu kartieren und Aktualisierungen und Tests zu automatisieren, wo immer dies möglich ist.
Für alle Endbenutzer, die sich ein Bild davon machen möchten, wie stark sie von der Software betroffen sind, stellen Sie sich diese beiden Fragen: Wie wurde Ihre Software erstellt? Und inwieweit ist sie von der Internetverbindung abhängig? Wenn Sie oder Ihr Unternehmen die Anwendung nicht selbst entwickelt haben und sie mit dem Internet verbunden ist, empfehlen wir Ihnen, (zumindest) regelmäßige Sicherheitsüberprüfungen durchzuführen.
Unsere Ideen
Weitere Blogs
Contact