Bislang unentdeckte Sicherheitslücken aufspüren

Der Angriff auf die Backdoor-Lieferkette rund um das Dienstprogramm XZ ist ein klassisches Beispiel dafür, wie Schwachstellen in Open-Source-Code verschleiert werden. Sonatype hat ein Tool entwickelt, das bislang nicht zu entdeckende Sicherheitslücken finden soll.

Der zugrundeliegende Algorithmus ist laut Sonatype in der Lage, Schwachstellen in Open-Source-Dateien aufzuspüren, bei denen der ursprüngliche Code neu verpackt wurde – was die Entdeckung mit herkömmlichen Mitteln nahezu unmöglich macht. Rund 4,5 Millionen neue Schwachstellen in Open-Source-Softwarekomponenten hat das Tool laut Anbieter bereits gefunden, 1,85 Millionen davon mit hohem Risiko sowie 336.000 Schwachstellen mit einem CVSS-Score von 9,7 oder höher – dies sei vergleichbar mit dem Schweregrad von Log4Shell.

Im Gegensatz zu anderen Tools lege das Design der Sonatype-Plattform den Schwerpunkt auf Vollständigkeit und Präzision der Ergebnisse, während falsch positive Ergebnisse praktisch eliminiert und falsch negative Ergebnisse sichtbar gemacht werden. Dadurch will man sicherstellen, dass sich die Teams nur auf echte Bedrohungen zum richtigen Zeitpunkt konzentrieren, was unnötigen Arbeitsaufwand und Belastungen für die Entwicklungsteams reduziert.

Sonatype CEO Wayne Jackson betonte: „Die Realität ist, dass ‚gut genug‘ nicht ausreicht, wenn es um die Sicherung der Open-Source-Software geht, die einem Großteil der digitalen Welt zugrunde liegt. Angreifer entwickeln ihre Methoden ständig weiter.“ Um Nutzern dabei zu helfen, ihnen einen Schritt voraus zu sein, müsse man auch sich selbst weiterentwickeln. Ziel sei es, die tiefsten und umfassendsten Einblicke in Open-Source-Schwachstellen zu gewähren, verbunden mit den notwendigen Tools und Automatisierungen, um die Produktivität der Entwickler zu steigern und gleichzeitig die Sicherheitsrisiken zu minimieren.

Matchmaker+ Anbieter zum Thema

zu Matchmaker+

Lesen Sie mehr zum Thema

Das könnte Sie auch interessieren

Open statt ausgeliefert

Wie das ZenDiS Alternativen zur IT-Abhängigkeit etablieren will

Mobiles und lokales Filemanagement

OpenCloud bringt Desktop- und iOS-App für Dateizugriff

Interview mit Orange Cyberdefense

„ISO 27001 ist nicht mehr ausreichend“

Weitere Artikel zu Cybersecurity/Cybersicherheit

Open statt ausgeliefert

Wie das ZenDiS Alternativen zur IT-Abhängigkeit etablieren will

Marco van Kalleveen kommt

Infinigate-CEO Klaus Schlichtherle geht

Spezialist für Penetrationstests

Kalweit ITS nimmt den Mittelstand ins Visier

Cybercrime-Lagebild 2024

Professionalisierte Angriffe treffen Wirtschaft und Verwaltung

Führungskraft für „möglichen Börsengang“

Rania Succar wird CEO von Kaseya

Weitere Artikel zu Cyber-Security-Lösungen

„BarracudaONE"

Barracuda stellt KI-gestützte Cybersicherheitsplattform vor

Social Media als Sicherheitsrisiko

Digitale Fußabdrücke mit Folgen

Cybersecurity

Das KI-Zeitalter schreibt eigene Sicherheitsgesetze

Priorisierung der Cybersicherheit

NIS2 – Abwarten ist keine Option

Datensicherung und -sicherheit

Synergien zwischen DSGVO und NIS2

Weitere Artikel zu Cybercrime

Repräsentative Studie von G DATA

Ist die Firma ein lukratives Ziel für Cyberkriminelle?

Kaspersky: Docker-API im Visier

Container sind Angriffsziel

40 Jahre G Data

Cybersecurity-Spezialist feiert Jubiläum

Ronaldo-Malvertising für Binance

Aktuelle Kampagnen mit Fake-Ads für Kryptowährungen

Ransomware-Statistik von Kaspersky

Keine Entwarnung bei Erpresser-Malware