25.03.2026 14:29

Supply Chain Security im CI/CD Umfeld

In den letzten Wochen wurden mehrere Security Lösungen aus dem Continuous Integration/Continuous Delivery (CI/CD) Umfeld erfolgreich kompromittiert: Xygeni, Trivy, Checkmarx.
Durch Injektion böswilligen Codes wurden vordergründig Zugangsdaten aus automatisierten CI/CD Pipelines, in welchen die Softwarepakete der kompromittierten Unternehmen genutzt werden, gestohlen. Durch die so erlangten Zugangsdaten wurden in weiterer Folge andere Softwarepakete kompromittiert.

Angriffe über manipulierte Softwareupdates zeigen ein schwierig zu lösendes Spannungsfeld auf: Security Fixes sollen möglichst zeitnah ausgerollt werden. Schadsoftware natürlich aber besser nicht. Abseits plattformspezifischer Ansätze (pnpm, python) sehen wir aktuell vor allem eine bewusste, wohldefinierte zeitliche Verzögerung der Nutzung neu herausgegebener Softwarepakete als validen Ansatz, dieses Risiko zu minimieren. Diese Verzögerung erlaubt Security Researchern derartige Situationen zu erkennen und den Herausgebern zu reagieren, hoffentlich noch bevor man den böswilligen Code in die eigene Umgebung integriert.
Die Definition dieses Zeitraums ist natürlich eine sehr individuelle, in Anbetracht der aktuell gängigen Dynamiken sehen wir eine Verzögerung von einem bis drei Tage als valide Planungsgrundlage.