Angriffe auf Software-Lieferketten zählen zu den gefährlichsten Bedrohungen moderner IT-Infrastrukturen. Die Cloud Native Computing Foundation (CNCF) und das Sicherheitsunternehmen Kusari bündeln ihre Kräfte, um mit offenen Standards und praxiserprobten Werkzeugen für mehr Transparenz und Nachvollziehbarkeit in Cloud-nativen Umgebungen zu sorgen.
CNCF und Kusari intensivieren Zusammenarbeit zur Absicherung von Software-Lieferketten
Die Cloud Native Computing Foundation (CNCF) und das Sicherheitsunternehmen Kusari verstärken ihre Kooperation, um Schwachstellen in Software-Lieferketten systematisch zu adressieren. Im Mittelpunkt steht die Weiterentwicklung offener Standards und Werkzeuge, die Unternehmen eine lückenlose Nachverfolgbarkeit ihrer Software-Komponenten ermöglichen sollen.
Hintergrund: Wachsende Angriffsfläche in modernen Software-Stacks
Software-Lieferketten gehören zu den bevorzugten Angriffsvektoren staatlich geförderter Akteure und organisierter Cyberkriminalität. Aufsehen erregende Vorfälle wie der SolarWinds-Angriff oder die Kompromittierung des XZ-Utils-Projekts haben deutlich gemacht, wie weitreichend die Konsequenzen sein können, wenn Abhängigkeiten in Open-Source-Ökosystemen unzureichend kontrolliert werden.
Cloud-native Architekturen, die auf zahlreichen externen Paketen, Container-Images und Drittanbieter-Diensten aufbauen, vergrößern diese Angriffsfläche zusätzlich.
GUAC und SBOM als technische Grundlage
Ein zentrales Element der Zusammenarbeit ist das Open-Source-Projekt GUAC (Graph for Understanding Artifact Composition), das ursprünglich von Google initiiert und inzwischen in die CNCF-Sandbox aufgenommen wurde. GUAC aggregiert Sicherheitsmetadaten aus verschiedenen Quellen – darunter Software Bill of Materials (SBOM), SLSA-Provenance-Daten und Vulnerability-Datenbanken – und stellt sie in einem einheitlichen Wissensgraphen bereit. Kusari trägt als Kernmaintainer aktiv zur Weiterentwicklung des Projekts bei.
SBOMs – maschinenlesbare Inventarlisten aller Softwarekomponenten eines Produkts – gelten mittlerweile als Mindestanforderung für eine belastbare Supply-Chain-Sicherheit:
- In den USA schreibt eine Executive Order aus dem Jahr 2021 deren Einsatz für Bundesbehörden vor
- In der Europäischen Union zeichnen sich ähnliche Anforderungen im Rahmen des Cyber Resilience Act ab
Ziel: Durchgängige Nachverfolgbarkeit von Artefakten
Die Partnerschaft zielt darauf ab, die gesamte Kette von der Quellcode-Einreichung bis zum produktiven Deployment überprüfbar zu gestalten. Durch die Integration von SLSA-Frameworks (Supply Chain Levels for Software Artifacts) lassen sich Herkunft und Integrität von Build-Artefakten kryptografisch nachweisen.
Unternehmen können so verifizieren, ob ein Container-Image tatsächlich aus dem deklarierten Quellcode hervorgegangen ist und auf dem vorgesehenen Build-System erstellt wurde – ohne dem jeweiligen Anbieter blind vertrauen zu müssen.
Kusari bietet ergänzend kommerzielle Werkzeuge an, die auf der Open-Source-Infrastruktur aufsetzen und Sicherheitsteams eine konsolidierte Sicht auf Risiken innerhalb ihrer Abhängigkeitsgraphen geben sollen.
Einordnung für deutsche Unternehmen
Für Unternehmen im deutschsprachigen Raum gewinnt das Thema Supply-Chain-Security an regulatorischer Relevanz: Der Cyber Resilience Act der EU verpflichtet Hersteller digitaler Produkte ab 2027 zu dokumentierten Sicherheitsnachweisen über den gesamten Produktlebenszyklus – wozu auch die Transparenz über eingebettete Open-Source-Komponenten zählt.
Technologieentscheider, die heute in SBOM-Prozesse und Provenance-Tooling investieren, reduzieren nicht nur ihr Angriffsrisiko, sondern schaffen auch die Grundlage für eine konforme Produktdokumentation.
Die Aktivitäten von CNCF und Kusari liefern dafür praxiserprobte, herstellerunabhängige Bausteine – etwa durch die Integration von GUAC in bestehende CI/CD-Pipelines.
Quelle: InfoQ AI