Von XZ bis Trivy: Was Supply-Chain-Angriffe über unsere Pipelines verraten

XZ Utils, polyfill.io, Shai-Hulud, Trivy: Die Supply-Chain-Angriffe der letzten zwei Jahre zeigen ein gemeinsames Muster. Nicht der eigene Code ist das Problem, sondern das Vertrauen in Maintainer, Domains, Versions-Tags und den eigenen Security-Scanner. Angreifer werden autonomer und schneller. Shai-Hulud repliziert sich selbst durch npm-Ökosysteme, der kompromittierte Trivy-Scanner exfiltriert Secrets aus tausenden Pipelines.

Dieser Vortrag ist kein Tooling-Rezept, sondern ein ehrlicher Erfahrungsbericht, was in Projekten funktioniert hat, was gescheitert ist, und welche Fragen sich Teams stellen müssen, bevor der nächste Vorfall die Antworten liefert.

Vorkenntnisse

Grundlegende Erfahrung in der Softwareentwicklung oder im Betrieb von Anwendungen. Kenntnisse über CI/CD-Pipelines sind hilfreich, aber keine Voraussetzung. Der Vortrag richtet sich an alle, die verstehen wollen, wie Supply-Chain-Angriffe funktionieren und was Teams konkret dagegen tun können.

Lernziele

Die Teilnehmenden verstehen, wie aktuelle Supply-Chain-Angriffe funktionieren und was sie strukturell gemeinsam haben. Sie können die eigene Build-Pipeline auf die häufigsten Schwachstellen einschätzen. Sie kennen konkrete erste Maßnahmen, wissen in welcher Reihenfolge diese sinnvoll sind, und verstehen, warum Sichtbarkeit über die eigene Lieferkette die Grundlage jeder weiteren Absicherung ist.