State of the Software Supply Chain Report” - Kurzfassung (Executive Summary) Auf Deutsch

4. jährlicher “State of the Software Supply Chain Report” - Kurzfassung (Executive Summary) auf Deutsch. Einführung Vom Bank- bis zum Gesundheitswesen und von der Fertigungs- bis hin zur • Vermutete oder bekannte Open-Source-Sicherheitsverletzungen nahmen Unterhaltungsindustrie: Unternehmen, die in der Lage sind, innovative Soft- im Jahresvergleich um 55 % zu. ware-Anwendungen bereitzustellen, setzen etablierte Akteure unter Druck und • DevOps-Teams, die von Automatisierung profitieren, sind zu 90 % kon- gewinnen in jeder Branche an Bedeutung. form mit definierten Sicherheitsrichtlinien. Um am Ball bleiben und effektiv im Wettbewerb bestehen zu können, üben • Die Verwaltung von Software Supply Chains durch automatisierte CEOs und Aktionäre intensiven Druck auf IT-Führungskräfte aus, um das OSS-Governance reduziert vorhandene Schwachstellen um 50 %. Tempo der Software-Innovation zu beschleunigen. Als Reaktion darauf stellen Unternehmen Armeen von Software-Entwicklern ein, nutzen beispiellose • Gesetzliche Vorgaben in den Vereinigten Staaten und Europa deuten auf Mengen an Open-Source-Komponenten und statten Teams mit innovativen und eine zukünftige Software-Haftung hin. Cloud-basierten Tools aus, die den gesamten Lebenszyklus der Software-En- twicklung automatisieren und optimieren sollen. Im Gegensatz zum Bericht 2017 hebt der diesjährige Bericht neue Methoden hervor, mit denen Cyberkriminelle Software Supply Chains infiltrieren. Außerdem In dieser Welt ist Geschwindigkeit das A und O, Open Source ist allgegenwärtig bietet er erweiterte Analysen über Sprachen und Ökosysteme hinweg und un- und Sicherheitsbedenken werden manchmal in den Hintergrund gedrängt: tersucht genauer, wie sich staatliche Vorschriften voraussichtlich auf die Zukunft Grund genug für uns, den Zustand der Supply Chain von Open-Source-Software der Software-Entwicklung auswirken werden. erneut zu untersuchen. Wie frühere Berichte verbindet der "2018 State of the Software Supply Chain Report" ein breites Spektrum an öffentlichen und propri- Sonatype pflegt eine langjährige Partnerschaft mit der Welt der etären Daten mit fachkundigen Recherchen und Analysen. Zu den wichtigsten Open-Source-Software-Entwicklung. Von unseren bescheidenen Anfängen als Ergebnissen des diesjährigen Berichts gehören: zentrale Mitwirkende bei Apache Maven über die Unterstützung des weltweit größten Repositorys von Open-Source-Komponenten (Central) bis hin zur • Die Zahl der Open-Source-Schwachstellen hat im Jahresvergleich um Verbreitung des weltweit beliebtesten Repository-Managers (Nexus) gibt es uns 120 % zugenommen. Die durchschnittliche Zeit zur Ausnutzung dieser aus einem einfachen Grund: zur Beschleunigung der Software-Innovation. Schwachstellen sank im selben Zeitraum um 93,5 %. • Öffentlichen Datenbanken für Schwachstellen fehlen Informationen über Mit diesem Bericht möchten wir Ihnen die Dinge näher bringen, die wir aus mehr als 1,3 Millionen Open-Source-Sicherheitshinweise. unserer einzigartigen Perspektive innerhalb der Open-Source-Community beo- bachten. Wir hoffen, dass Ihnen diese Informationen hilfreich sind und freuen uns auf Ihr Feedback. Mit freundlichen Grüßen WAYNE JACKSON Chief Executive Officer, Sonatype 2018 State of the Software Supply Chain Report 2 OSSSICHERHEITSLÜCKEN Struts-Sicherheitslücken, 55% Zunahme der OSS- die im letzten Jahr für 45 auf 3 Sicherheitslücken 8 Schlagzeilen sorgten Rückgang der Anzahl der Tage zwischen im Jahresvergleich Oenlegung einer Schwachstelle und deren Ausnutzung P.5 P.6 P.5 EINE FLUT VON INNOVATION UND AUTOMATISIERUNG IN DER EINSATZ VON AUTOMATISIERUNG OSS UND REGIERUNGSBEHÖRDEN SOFTWAREENTWICKLUNG 170 000 50% 87Mrd. Downloads von Java-Open-Source- Komponenten pro Unternehmen und Jahr 50%iger Rückgang beim Einsatz 19 anfälliger OSS-Komponenten bei Anwendung von Automatisierung P.27 Regierungsorganisationen fordern Download-Anfragen (Java), was eine verbesserte OSS-Governance im Jahresvergleich einem Anstieg von 68 % entspricht 57% P.13 P.17 P.29 der DevOps-Teams automatisierten BEKANNTE SICHERHEITSLÜCKEN Sicherheitsmaßnahmen über den gesamten Lebenszyklus der Software- 1 von 8 Entwicklung hinweg P.23 npm-Pakete, die im heruntergeladenen OSS-Komponenten Durchschnitt pro enthält eine bekannte Sicherheitslücke Jahr von einem DevOps-Teams zeichnen JavaScript-Entwickler sich durch eine um 90 % heruntergeladen 90% höhere Compliance aus, 11 26 000 werden wenn Sicherheitsrichtlinien Berichte über Hacker, die automatisiert werden Schwachstellen in Open-Source- P.13 P.17 P.24 Releases einbringen P.8 2018 State of the Software Supply Chain Report 3 Table of Content Introduction ............................................................................................................................2 Infographic summary ...........................................................................................................3 Chapter 1: The Wake Up Call "We Are All Equifax" ....................................................5 Automation of open source governance requires precision .............................................25 Guiding open source policies: newer components make better software ....................25 Open source software breaches are on the rise ......................................................................5 Vulnerabilities make their way into production applications ............................................. 27 The window to respond is shrinking rapidly ..............................................................................5 Managed software supply chains: 2x more efficient, 2x more secure ...........................28 Real time proof: a new critical vulnerability in Apache Struts ..............................................6 Open source related breaches grow to record levels..........................................................28 Unbridled consumption of vulnerable Struts and Spring versions .....................................6 A new battlefront: software supply chain attacks ....................................................................7 Cryptomining using popular open source components .......................................................10 Chapter 5: The Rise of Regulating Software ............................................................. 29 The Rising Tide of Policies and Regulation .............................................................................29 Chapter 2: Accelerating Innovation Pursuits Drive Automated Consumption of United States Congress ................................................................................................................29 OSS Components ................................................................................................................. 11 U.S. Food and Drug Administration ...........................................................................................29 Every organization depends on a software supply chain ..................................................... 11 U.S. Department of Defense (DoD) ............................................................................................30 Supply of open source is growing exponentially .................................................................... 12 U.S. Department of Health and Human Services (HHS) ......................................................30 Automation accelerates the demand for open source ......................................................... 13 U.S. Department of Commerce ...................................................................................................30 Open source vulnerabilities are pervasive ............................................................................... 14 Federal Energy Regulatory Commission (FERC) ..................................................................... 31 Containers are not immune ..........................................................................................................16 European Union ............................................................................................................................... 32 Consumption of vulnerable open source hits record high .................................................. 17 France ................................................................................................................................................. 32 United Kingdom ............................................................................................................................... 32 Germany............................................................................................................................................. 33 Chapter 3: Dirty Rivers Flow Downstream Leading to Dirty Reservoirs ........... 19 When software kills people .......................................................................................................... 33 Roads and bridges are falling down: NVD and CVE ..............................................................19 The dawn of software liability ..................................................................................................... 33 Industry lacks meaningful open source controls ...................................................................20 Repository managers host a larger percentage of vulnerable components .................. 21 Summary ............................................................................................................................... 35 Container usage soars while vulnerabilities proliferate ......................................................

Load more