:quality(80)/p7i.vogel.de/wcms/97/b8/97b86180c3b056c5558f1e89e4b6fa22/89860262.jpeg "Linux-Systemanalyse und Debug mit dem Tool gdb: Wer Systemfehlern auf den Grund gehen und sie effizient beheben möchte, ist bei dem Seminar Diagnose von Linux bestens aufgehoben. (Bild: GDB Command: Info locals / Linux Screenshots / CC BY 2.0)")
:quality(80)/p7i.vogel.de/wcms/65/46/654669f191c36807b0b9220d4d1dc17c/0105202171.jpeg "Linux-Trainer und Best-Speaker-Preisträger: Wer Andreas Klinger noch nicht gehört hat, der hat auch noch nicht alles über Linux gehört. Mit didaktischem Geschick, großer Leidenschaft und unverwechselbarem Akzent „brennt“ der Ur-Bayer die Basics und Feinheiten von Linux in die Köpfe der Entwickler. (Bild: VCM)")
:quality(80)/p7i.vogel.de/wcms/16/2b/162b2abbd1b852a9f3f478d6c6fbdede/78352155.jpeg "Linux-Trainer und Best-Speaker-Preisträger: Wer Andreas Klinger noch nicht gehört hat, der hat auch noch nicht alles über Linux gehört. Mit didaktischem Geschick, großer Leidenschaft und unverwechselbarem Akzent „brennt“ der Ur-Bayer die Basics und Feinheiten von Linux in die Köpfe der Entwickler. (Bild: VCM)")
:quality(80)/images.vogel.de/vogelonline/bdb/1927700/1927780/original.jpg "Eine Plattform für Trendtechnologien der Zukunft: Die World of QUANTUM bringt ein umfassendes Vortragsprogramm und vielfältige Ausstellungsformate zusammen . (Entwurf, designed by meplan.)")
:quality(80)/p7i.vogel.de/wcms/a9/06/a906f028f922064597c90a762c130001/0111161743.jpeg "Einer aus dem Dreierteam: Der vierrädrige Roboter Husky im Einsatz auf dem „Mond“. (Bild: FZ Forschungszentrum Informatik)")
:quality(80)/p7i.vogel.de/wcms/c3/e2/c3e2817babb15c4588d3a86955065788/0110467380.jpeg "Deutschlands Leitkongress für Embedded Software Engineering findet vom 4. bis 8. Dezember 2023 in der Stadthalle in Sindelfingen statt. Reichen Sie jetzt Ihren Beitrag ein und werden Sie Speaker auf Deutschlands Leitmesse für Embedded Software Engineering! (Bild: VCG)")
:quality(80)/p7i.vogel.de/wcms/bb/ee/bbee87c9f6e1cd8f7c0585245912e408/0109800544.jpeg "Zielbild: Modulare Intelligenz und Technologien für zukünftige Mobilitätssysteme (Bild: Institut für Kraftfahrzeuge, RWTH Aachen University)")
:quality(80)/p7i.vogel.de/wcms/6a/2f/6a2f167401f10f18afdc55b0e90536f9/0109274310.jpeg "Prototyp eines RISC-V Mikroprozessors aus dem Jahr 2013 (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/41/1f/411f8ad27405977bbb7cb9206df07be4/0111388692.jpeg "Abbildung 1 (Bild: RTI)")
:quality(80)/p7i.vogel.de/wcms/07/4b/074bbdcc761d46e8e31fe76c3a2f4f8f/0109934783.jpeg "Green Hills Software ist auch 2023 auf der Embedded World vertreten und zeigt an seinem Stand in Halle 4, 325 verschiedene Demos für Embedded Ingenieure. (Bild: Copyright (c) 2018 ParabolStudio/Shutterstock. No use without permission.)")
:quality(80)/p7i.vogel.de/wcms/f9/5f/f95fcd042af077dc3d66899dc2816e29/0109937725.jpeg "Erhöhte Sicherheit: Security-fokussierte Programmiersprache Rust nun für PikeOS nutzbar (Bild: SYSGO)")
:quality(80)/p7i.vogel.de/wcms/a4/54/a4541f4c599a4a7ec5321d90d5f1645b/0112110043.jpeg "Die Anzeigen des Kombiinstruments und des zentralen IVI verschmelzen. In modernen Fahrzeugen spielt die Software eine wichtige Rolle. (Bild: Bosch)")
:quality(80)/p7i.vogel.de/wcms/9d/c5/9dc51aceca8d17c99bb4f2fe207aa607/0111648705.jpeg "Agile Softwareentwicklung lebt unter anderem vom ständigen Austausch aller Beteiligten. (Bild: <a href=https://unsplash.com/de/@jasongoodman_youxventures>Jason Goodman</a>)")
:quality(80)/p7i.vogel.de/wcms/ca/a0/caa05b9965bf706d74a5eb9747d6b2da/0110637610.jpeg "MOSA-Ziele konzentrieren sich darauf, offene Standards und modulare Komponenten zu verwenden, um die Entwicklungskosten zu reduzieren und die Flexibilität von Systemen zu erhöhen. (Bild: frei lizenziert)")
![Die ursprüngliche Richtlinie MISRA C:2012 [MISRA3] enthält 159 Vorgaben. (Bild: frei lizenziert)](https://cdn1.vogel.de/H4TpkUUxUA9NGq5-yPLmHlLM1j8=/288x162/smart/filters:format(jpg):quality(80)/p7i.vogel.de/wcms/5d/67/5d67e4c73c7d2ad87efc155a20b34c10/0111515949.jpeg "Die ursprüngliche Richtlinie MISRA C:2012 [MISRA3] enthält 159 Vorgaben. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/0f/56/0f56440b91620ecab4063bd807884227/0111334152.jpeg "Bestätigt: dSpace-Tools dürfen in sicherheitsrelevanten Entwicklungsprojekten nach ISO 26262:2018 für alle Automotive Safety Integrity Levels (ASIL) eingesetzt werden. (Bild: dSPACE GmbH)")
:quality(80)/p7i.vogel.de/wcms/94/43/94436767ec04f9eedc80a0d9564502e3/0110183599.jpeg "Die Sicherheit wird m IoT-Zeitalter immer wichtiger. Hackerangriffe können für User und Hersteller verheerend sein. (Bild: frei lizenziert/ Bild von Gerd Altmann auf Pixabay )")
:quality(80)/p7i.vogel.de/wcms/9c/e1/9ce1e5a9cd2b5c6dda9cf817e2ea7bc1/0111860365.jpeg "Ein Arbeitgeber muss die Ausbildung und Fortbildung als wertvolles Gut betrachten und seine Mitarbeiter entsprechend unterstützen. Mitarbeiter sind das wichtigste Kapital des Arbeitgebers und der Schlüssel zu anhaltendem Geschäftserfolg (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/74/a1/74a1fcd5d60af69422390e97fbf77dcd/0109296819.jpeg "Das war der ESE Kongress 2022. (Bild: Elisabeth Wiesner)")
:quality(80)/p7i.vogel.de/wcms/01/c0/01c0704317d4edaf0e573f722c7a9e3e/0107577806.jpeg "Mythen sind in der Embedded-Programmierung weit verbreitet. Wir stellen Ihnen einige vor und klären in einem zweiten Artikel, welche Fakten es gibt. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/09/f4/09f4cd13cfa544c5ba7464c32917666a/0111368304.jpeg "VW arbeitet an einer eigenen Software, die sich plattform- und markenübergreifend skalieren lässt. Dieses Vorhaben ist offenbar komplexer als zunächst angenommen. (Bild: Volkswagen AG)")
:quality(80)/p7i.vogel.de/wcms/f5/51/f551f5778d5bd171b3f17d73ff593723/72055891.jpeg "(Bild: Clipdealer)")
:quality(80)/p7i.vogel.de/wcms/ee/3e/ee3e6bd1548c02ee07ac5edd7725d5af/77955554.jpeg "Auf einem Embedded-Linux-System direkt lässt sich Software aufgrund der begrenzten Ressourcen nur schlecht debuggen. Das in Linux integrierte Tool GDB erlaubt, die Embedded Software über einen PC extern auf Fehler zu untersuchen. (Bild: Clipdealer)")
:quality(80)/p7i.vogel.de/wcms/a1/22/a12273ea61fe7f569b7b6a9f06493bc0/0110643930.jpeg "KI-Modelle spielen eine bedeutende Rolle in vielen Anwendungen, nicht zuletzt bei Lösungen für assistiertes oder gar autonomes Fahrens. (Bild: Mathworks)")
:quality(80)/p7i.vogel.de/wcms/31/90/3190c962e45b69b63d927a7625bfe71a/0108586440.jpeg "Bild 1: KI-Engineering braucht Systemverständnis. (Bild: Fraunhofer IOSB)")
:quality(80)/p7i.vogel.de/wcms/9a/9f/9a9fa3523309f9d3d5913fc064fdd92b/0107360831.jpeg "Software hilft beim Meistern der Herausforderungen des neuen Lieferkettenhesetzes. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/e2/4b/e24b52dba628d199853fb606a97f9334/0108601399.jpeg "Wie eine bessere Absicherung der vernetzten Systeme gelingen kann, können Sie auf dem diesejährigen ESE-Kongress erfahren. (Bild: Perforce )")
:quality(80)/p7i.vogel.de/wcms/a7/67/a7677d18c5dcb651b31dc1e66460f1f2/0107504500.jpeg "SSV stellt ein adaptives Bausteinkonzept mit einer Hardware-agnostischen Firmware für Edge-Gateways vor. Die Firmware ist individuell anpassbar und läuft sowohl auf verschiede-nen Embedded-Plattformen als auch in Docker-Containern. (Bild: SSV)")
:quality(80)/p7i.vogel.de/wcms/df/de/dfde99db2fd6a284729aa7388502f129/0107037164.jpeg "Wenn der Preis wichtiger ist als Sicherheit: Es besteht ein Risiko für viele Firmen, sofern VPN und grundlegende Sicherheitsvorkehrungen im Homeoffice nicht obligatorisch sind. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/1e/d5/1ed5275a8a540a22af56f34386ac3bc8/0107856947.jpeg "Die neueste Version der Univeral Debug Engine ermöglicht die Steuerung der Prozessorkerne für das Debugging, den Test und tiefgreifende Systemanalysen innerhalb einer einzigen Debugger-Instanz. (Bild: PLS Programmierbare Logik & Systeme)")
:quality(80)/p7i.vogel.de/wcms/4d/96/4d9621a180cfee96ba85d2da83163461/0105948132.jpeg "Eine effektive Verwaltung und nahtlose Orchestrierung verschiedener Softwarekomponenten auf einem einzigen SoC kann auf vielfältige Weise erreicht werden. (Bild: Siemens Software )")
:quality(80)/p7i.vogel.de/wcms/34/05/3405327567eb345e9c0c326a590cd9ae/0105886699.jpeg "Mithilfe der UDE 2022 können Entwickler alle Funktionseinheiten aus einer Umgebung heraus ansprechen. Kerne lassen sich gemeinsam, in Gruppen oder einzeln debuggen. (Bild: PLS)")
:quality(80)/p7i.vogel.de/wcms/5d/06/5d06c990c23f740700e79851e71ac6ba/0109150162.jpeg "Nadine Riederer, Avision: „Die Wahl der Programmiersprache ist und bleibt eine Wette. Etablierte Sprachen haben dabei eindeutig die besseren Quoten, wenn es um die langfristige und sichere Planung geht.“ (Bild: TWX Photography)")
:quality(80)/p7i.vogel.de/wcms/24/2e/242e280e4bd31499e2b8cfacbbd48a8b/0105611684.jpeg "Die Erweiterung der Compiler Suite soll das Entwickeln neuer Anwendungen für bestimmte Prozessoren im Automotive-Bereich vereinafchen. (Bild: NXP)")
Drei Risikobereiche für die Software Supply Chain Angriffe auf Software-Lieferkette verdreifacht
Im Jahr 2021 haben sich Angriffe auf die Software-Lieferkette gegenüber dem Vorjahr verdreifacht. Dies berichtet Aqua Security, Spezialist für Cloud-native Sicherheit, im Rahmen des „Software Supply Chain Security Review“.
Anbieter zum Thema
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/119600/119672/65.png "Logo_hoch_600x600.png ()")
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/127800/127839/65.png "axivion_LOGO_600x600px.png ()")
:fill(fff,0)/p7i.vogel.de/companies/63/8f/638f6ed06f4c8/parasoft-logo-2018.png "parasoft-logo-2018 (Parasoft)"){kind=logo}
Für die Studie „Software Supply Chain Security Review“ hat Argon Security, seit Dezember ein Teil von Aqua Security, über einen Zeitraum von sechs Monaten die Angriffe auf Software-Supply-Chains beobachtet. Demnach hätten sich die Angriffe im Jahr 2021 im Vergleich zum Vorjahreszeitraum verdreifacht. Generell sei das Sicherheitsniveau in den Umgebungen für Software-Entwicklung nach wie vor niedrig, konstatiert Aqua Security.
Besonders beliebt sind bei Cyberkriminellen Sicherheitslücken in Open-Source-Software. Die Angreifer schleusen bereits hier bösartigen Code ein („Poisoning“) und nutzen generelle Probleme bei der Integrität von Software-Code. Im Zuge der Studie wurden drei Hauptbereiche ermittelt, in denen Risiken auftreten können, im Folgenden im Wortlaut wiedergegeben.
1. Verwendung anfälliger Pakete
Quelloffener Code ist Teil fast aller kommerziellen Software. Viele der verwendeten Open-Source-Pakete weisen bestehende Sicherheitslücken auf, und die Aktualisierung auf eine sicherere Version erfordert einen hohen Aufwand für die Entwicklungs- und DevOps-Teams. Es ist nicht überraschend, dass dies eine der am schnellsten wachsenden Methoden zur Durchführung von Angriffen ist. Es gibt zwei gängige Angriffe, die verwundbare Pakete ausnutzen:
- Ausnutzung vorhandener Schwachstellen: Ausnutzung vorhandener Schwachstellen von Paketen, um Zugriff auf die Anwendung zu erhalten und den Angriff auszuführen (Beispiel: die jüngsten Log4j-Cyberattacken).
- Package-Poisoning: Einschleusen von bösartigem Code in beliebte Open-Source-Pakete und unternehmenseigene Software-Pakete, um Entwickler oder automatisierte Pipeline-Tools dazu zu bringen, sie in den Build-Prozess der Anwendung einzubinden (Beispiel: Der Fall von COA, RC und ua-parser-js).
2. Kompromittierte Pipeline-Tools
Angreifer können privilegierten Zugriff, Fehlkonfigurationen und Schwachstellen in der CI/CD-Pipeline-Infrastruktur (z. B. Quellcode-Verwaltungssystem, Build-Agent, Paketregistrierungen und Dienstabhängigkeiten) ausnutzen, die Zugang zu kritischer IT-Infrastruktur, zu Entwicklungsprozessen, Quellcode und Anwendungen bieten.
Eine kompromittierte CI/CD-Pipeline kann den Quellcode einer Anwendung offenlegen, der den Bauplan der Anwendung, der Entwicklungsinfrastruktur und der Prozesse darstellt. Dadurch können Angreifer den Code ändern oder während des Build-Prozesses bösartigen Code einschleusen und die Anwendung manipulieren (wie es beispielsweise bei derSolarWinds-Attacke der Fall war). Diese Art der Sicherheitsverletzung ist schwer zu erkennen und kann großen Schaden anrichten, bevor sie entdeckt und behoben wird.
Angreifer nutzen auch kompromittierte Paketregistrierungen, um kompromittierte Artefakte anstelle von legitimen hochzuladen. Darüber hinaus gibt es Dutzende von externen Abhängigkeiten, die mit der Pipeline verbunden sind und für den Zugriff auf sie und für Angriffe genutzt werden können (Beispiel: Codecov).
3. Integrität von Code/Artefakten
Einer der Hauptrisikobereiche, die in der Studie identifiziert wurden, ist das Hochladen von fehlerhaftem Code in Quellcode-Repositories, was sich direkt auf die Qualität der Artefakte und die Sicherheitslage auswirkt.
Häufige Probleme, die in den meisten Kundenumgebungen gefunden wurden, waren sensible Daten im Code, die Codequalität und Sicherheitsprobleme allgemein, das Problem von Infrastruktur-als-Code, Schwachstellen in Container-Images und generelle Fehlkonfigurationen. In vielen Fällen war die Anzahl der entdeckten Probleme so groß, dass sie nur mit umfassenden Projekten bereinigt werden konnten.
Den „Software Supply Chain Security Review“ können Interessenten auf der Webseite von Aqua Security nach erfolgter Registrierung herunterladen.
(ID:47968642)
:quality(80)/images.vogel.de/vogelonline/bdb/1933100/1933103/original.jpg "Da Webanwendungen immer komplexer werden, lauern in jedem System potenzielle Sicherheitslücken, sowohl für externe Angreifer als auch für Insider. (Egor - stock.adobe.com)")
:quality(80)/images.vogel.de/vogelonline/bdb/1945800/1945871/original.jpg "Einige Best Practices helfen, bei der Nutzung von Open-Source-Komponenten auf der sicheren Seite zu bleiben. (peshkova - stock.adobe.com)")