Der Angriff auf die Backdoor-Lieferkette rund um das Dienstprogramm XZ ist ein klassisches Beispiel dafür, wie Schwachstellen in Open-Source-Code verschleiert werden. Sonatype hat ein Tool entwickelt, das bislang nicht zu entdeckende Sicherheitslücken finden soll.
Der zugrundeliegende Algorithmus ist laut Sonatype in der Lage, Schwachstellen in Open-Source-Dateien aufzuspüren, bei denen der ursprüngliche Code neu verpackt wurde – was die Entdeckung mit herkömmlichen Mitteln nahezu unmöglich macht. Rund 4,5 Millionen neue Schwachstellen in Open-Source-Softwarekomponenten hat das Tool laut Anbieter bereits gefunden, 1,85 Millionen davon mit hohem Risiko sowie 336.000 Schwachstellen mit einem CVSS-Score von 9,7 oder höher – dies sei vergleichbar mit dem Schweregrad von Log4Shell.
Im Gegensatz zu anderen Tools lege das Design der Sonatype-Plattform den Schwerpunkt auf Vollständigkeit und Präzision der Ergebnisse, während falsch positive Ergebnisse praktisch eliminiert und falsch negative Ergebnisse sichtbar gemacht werden. Dadurch will man sicherstellen, dass sich die Teams nur auf echte Bedrohungen zum richtigen Zeitpunkt konzentrieren, was unnötigen Arbeitsaufwand und Belastungen für die Entwicklungsteams reduziert.
Sonatype CEO Wayne Jackson betonte: „Die Realität ist, dass ‚gut genug‘ nicht ausreicht, wenn es um die Sicherung der Open-Source-Software geht, die einem Großteil der digitalen Welt zugrunde liegt. Angreifer entwickeln ihre Methoden ständig weiter.“ Um Nutzern dabei zu helfen, ihnen einen Schritt voraus zu sein, müsse man auch sich selbst weiterentwickeln. Ziel sei es, die tiefsten und umfassendsten Einblicke in Open-Source-Schwachstellen zu gewähren, verbunden mit den notwendigen Tools und Automatisierungen, um die Produktivität der Entwickler zu steigern und gleichzeitig die Sicherheitsrisiken zu minimieren.