Lieferkettenangriffe zählen zu den größten Bedrohungen in der modernen Softwareentwicklung. Doch wie schützt man sich effektiv davor? Im Rahmen seiner Masterarbeit hat sich unser Kollege Franz Falk umfassend mit der Identifikation und Beseitigung von Schwachstellen in Softwarelieferketten befasst. Dabei wurden auf Basis des Sicherheitsstandards SLSA (Supply-chain Levels for Software Artifacts) konkrete Maßnahmen definiert, um den Schutz vor Manipulationen nachhaltig zu stärken.
Warum sind Softwarelieferketten besonders gefährdet?
Software besteht heute nicht mehr nur aus selbst geschriebenem Code – vielmehr wird ein Großteil aus externen Bibliotheken und Tools zusammengeführt. Diese Abhängigkeiten machen Anwendungen effizienter, aber auch anfällig: Ein kompromittiertes Modul genügt, um ganze Systeme zu unterwandern. Gerade Build- und Deployment-Prozesse sind beliebte Ziele von Angreifern, weil hier zentrale Weichen für die Integrität und Sicherheit gestellt werden.
Typische Schwachstellen in der Software-Lieferkette und aktuelle Absicherungsansätze
In einer Untersuchung zur Absicherung gegen Risiken in der Softwarelieferkette zeigte sich, dass häufige Schwachstellen die Auswahl und Verwaltung von Bibliotheken, das Fehlen von Signaturmechanismen sowie eine unzureichende Nachvollziehbarkeit im Build-Prozess betreffen. Tools wie Sigstore und in-toto bieten hierbei wertvolle Ansätze zur Absicherung, werden jedoch in der Praxis oft noch nicht konsequent genutzt.
SLSA als strukturierter Lösungsansatz
Als Lösungsansatz wurde das SLSA-Framework gewählt, da es sich hierbei um ein mehrstufiges Modell handelt. Dieses bietet klar definierte Anforderungen. So lässt sich Schritt für Schritt ein höheres Sicherheitsniveau in der Softwarelieferkette erreichen:
SLSA Level 1 – Konsistenter Build-Prozess
Einführung eines standardisierten Build-Skripts
Erzeugung nachvollziehbarer Metadaten zur Herkunft der Software-Artefakte – beispielsweise mithilfe von Docker, GitLab, Sigstore oder in-toto
SLSA Level 2 – Signierte Metadaten und verlässliche Infrastruktur
Umstellung auf eine dedizierte Build-Infrastruktur via GitLab
Signierung der Provenienz-Metadaten mit Sigstore oder in-toto
Automatisierte Verifikation der Signaturen zur Absicherung der Herkunft
SLSA Level 3 – Erhöhte Absicherung von Build-Umgebungen
Einsatz eines Secret Managers wie HashiCorp Vault zur Verwaltung sensibler Zugangsdaten
Isolierung der Build-Prozesse: Verlagerung vom GitLab Docker Runner hin zum Kubernetes Cluster, um Manipulationen gezielt zu unterbinden
Weitere sicherheitsrelevante Maßnahmen
Neben der Umsetzung des SLSA-Modells können Unternehmen auf weitere sicherheitsrelevante Maßnahmen setzen, um die Softwarelieferkette ganzheitlich abzusichern. Dazu zählen automatisierte Sicherheitsscans und regelmäßige Dependency-Checks, die eine frühzeitige Erkennung potenzieller Schwachstellen ermöglichen. Darüber hinaus lohnt es sich, großen Wert auf die Absicherung von Docker-Images sowie den zugehörigen Registries zu legen, um Angriffsflächen in Containerumgebungen zu minimieren. Ergänzend kann eine klar dokumentierte Reaktionsstrategie für den Umgang mit Sicherheitsvorfällen etabliert werden, die im Ernstfall eine strukturierte und schnelle Reaktion gewährleistet.
SLSA: Sicherheit beginnt in der Lieferkette
Die Analyse zeigt: Der Schutz vor Lieferkettenangriffen erfordert ein ganzheitliches Sicherheitskonzept – von der Auswahl der Tools bis zur Infrastruktur. Das SLSA-Framework bietet dabei eine ideale Grundlage, um strukturiert und nachvollziehbar Sicherheitslevel zu steigern. Wer heute sichere Software entwickeln will, muss die Lieferkette als kritische Komponente begreifen – und genau dort ansetzen.
Haben Sie Fragen?
Dann kontaktieren Sie uns!
Rufen Sie uns an unter 03831 44557 0 oder nutzen Sie das Kontaktformular.