Software-Supply-Chain-Sicherheit: Mehr als log4j und Solarwinds

Bei Schwachstellen in oder Angriffen auf die Software Supply Chain denken viele zuerst an log4j und Solarwinds. Die Bandbreite der tatsächlichen Angriffe und Schwachstellen in Software Supply Chains ist aber deutlich vielfältiger.

Heutzutage werden Fremdkomponenten (z.B. Entwicklungsumgebungen) nicht nur in der Entwicklung eingesetzt, oft besteht das Endprodukt sogar mehrheitlich aus Fremdkomponenten. Daher sollten die Risiken, die die Verwendung von Fremdkomponenten sowohl für die Entwicklungsinfrastruktur als auch für das eigentliche Endprodukt mit sich bringen, frühzeitig berücksichtig werden. Und es sollten auf jeden Fall Gegenmaßnahmen ergriffen werden.

In diesem Vortrag werde ich werde ich anhand von Beispielen aus der Praxis die Sicherheitsbedrohungen erläutern, die durch die sorglose Verwendung von Fremdkomponenten entstehen, und einfache Maßnahmen zur Minimierung des Risikos diskutieren.

Lernziele

Nach dem Vortrag sollten die Teilnehmer

  • verschiedene Angriffszenarien auf die Software Supply Chain
    verstehen
  • einfache Gegenmaßnahmen verstehen und anwenden können

Speaker

 

Achim Brucker
Achim Brucker leitet die Forschungsgruppe "Sicherheit und Vertrauenswürdigkeit von komplexen Soft- und Hardwaresystemen" an der Universität Exeter, UK. Davor war er im Bereich statische und dynamische Sicherheitstests bei der SAP SE tätig. Unter anderem hat er die Securitytest-Strategie der SAP definiert sowie Sicherheitstest im Inbound und Outbound Open Source Process der SAP durchgeführt.

heise-devSec-Newsletter

Ihr möchtet über die heise devSec
auf dem Laufenden gehalten werden?

 

Anmelden