Wie sicher ist deine Software-Lieferkette?

Eine Secure Software Supply Chain, also sichere Software-Lieferkette bedeutet, dass sämtliche Komponenten – vom Quellcode über Abhängigkeiten bis hin zum finalen Deployment – lückenlos verifiziert und nachvollziehbar sind. Somit ist die maximale Software Integrity, Schwachstellen-Management und Compliance gewährleistet.

Als Beispiel dient die Red Hat Trusted Software Supply Chain, in der verschiedene Red-Hat-Produkte passgenau ineinander greifen. Unabhängig vom konkreten Tool-Stack kann man drei wesentliche Bausteine unterscheiden:

• Signieren
• Scannen
• Compliance sicherstellen

Ziel ist eine durchgängig vertrauenswürdige, automatisierte und auditierbare Lieferkette (Software Supply Chain Security).

Signaturen gewährleisten, dass stets erkennbar ist, wer Code beigesteuert, ein Image erstellt oder eine Abhängigkeit hinzugefügt hat. Gleichzeitig muss in jedem weiteren Prozessschritt geprüft werden, ob die vorhandenen Signaturen gültig und unverändert sind.

Erklärt an einem konkreten Beispiel: Petra ist Entwicklerin für Java-Software und arbeitet an einem neuen Feature. Bevor Petra ihren lokal getesteten Code committen darf, muss sie diesen signieren. Dafür authentifiziert sie sich bei einem OIDC Provider, der ein kurzlebiges Zertifikat ausstellt. Damit wird der Code automatisch signiert. Ohne korrekte Signatur wird der Commit abgelehnt.

Auch die CI/CD Build Pipeline, die durch Petras Commit getriggert wird, signiert das resultierende Artefakt, bevor es in eine Registry hochgeladen wird. Das sorgt für eine durchgehende Nachvollziehbarkeit signierter Artefakte – ein wichtiger Schritt Richtung Secure SDLC (Secure Software Development Lifecycle).

👉 Hier erfährst du, wie du deinen Java-Code automatisiert und sicher aktualisierst.

Scannen bedeutet, Code und Artefakte automatisiert auf bekannte Sicherheitslücken (CVEs) zu prüfen. Zu jedem Artefakt wird eine signierte SBOM (Software Bill of Materials) generiert und in die Registry hochgeladen. Dadurch lässt sich auch im Betrieb feststellen, ob deployte Artefakte in der Zwischenzeit CVEs enthalten.

Um „Alert Fatigue“ zu vermeiden, sind intelligente Prozesse zur Priorisierung und zum selektiven Stummschalten bestimmter CVEs erforderlich. Tools wie Dependency Track oder der Red Hat Trusted Profile Analyzer helfen dabei mit grafischer Auswertung.

In Petras Build Pipeline wird ebenfalls ein SBOM erzeugt und sowohl in die Registry als auch in Dependency Track hochgeladen. Dort kann jederzeit nachvollzogen werden, welche CVEs ihr Artefakt betreffen. Das schafft Klarheit für die Software Supply Chain und reduziert das Risiko.

SBOMs sind das Herzstück jeder Compliance-Strategie. Sie zeigen transparent, welche Komponenten und Versionen in deiner Software enthalten sind. Dieser Ist-Stand kann mit Policies und regulatorischen Vorgaben abgeglichen werden.

SBOMs sind essenziell für regulatorische Anforderungen wie:

• NIS2-Richtlinie
• DORA Verordnung
• internes Sicherheits-Audit

Typische Anforderungen:

• Container müssen regelmäßig gescannt werden
• Nur signierte Artefakte sind zugelassen
• Kritische CVEs dürfen nicht deployt werden

Werden zudem alle Images und Komponenten signiert, verbessert dies die Nachvollziehbarkeit. So haben Auditor:innen und Regulierungsbehörden (z.B. im Kontext von DORA und NIS2) jederzeit einen Nachweis darüber, ob Ihr Unternehmen seinen Sorgfaltspflichten gerecht wird.

Die Umsetzung gelingt effizient mit unserem Auto-Update-Service, der:

• CVEs kontinuierlich scannt

• automatisch Updates erstellt

• SBOMs verwaltet und auditiert

Zum Beispiel: Petras Code, läuft seit 30 Tagen in Produktion. Jeden Tag wird das SBOM, welches alle Komponenten ihres Codes beschreibt, mit aktuellen CVE-Datenbanken verglichen. Werden gewisse Schwellenwerte and CVEs überschritten wird ein Report generiert, oder automatisch ein Pull Requests mit den nötigen Änderungen erstellt.

Neben dem bekannten „Shift Left“-Ansatz, bei dem Sicherheit früh in der Entwicklung verankert wird, fokussiert „Shift Up“ auf sicherheitsrelevante Entscheidungen bereits in Architektur und Design.

Dadurch verlagert sich ein Teil der sicherheitsrelevanten Überlegungen von den Entwickler:innen hin zu standardisierten Prozessen, Richtlinien und Tools. Das Ergebnis: mehr Sicherheit durch strengente Vorgaben und eine messbar geringere Fehleranfälligkeit.

Für Petra bedeutet das, dass sie sich weniger Sorgen um die Sicherheit machen muss, da der ganze Prozess bereits definiert und in automatisierte Pipelines/Prozesse gegossen ist. Sie konzentriert sich auf das Programmieren und sollten Sicherheitslücken auftauchen, kann sie sich sicher sein, dass diese erkannt werden. Sie kann jeden Abend sorglos schlafen gehen.

Automatisierung ist unverzichtbar, um Sicherheitsstandards kontinuierlich umzusetzen. Manuelle Prüfungen sind fehleranfällig und teuer. Durch automatisierte Pipelines entsteht:

• einheitliche Qualität
• weniger menschliche Fehler
• höhere Geschwindigkeit bei Sicherheitsfreigaben
• weniger technische Schulden
• schnelle Reaktionen auf CVEs
• Audit-Fähigkeit

Auch hier profitiert Petra: Die erhöhte Komplexität durch die Secure Software Supply Chain wird durch Automatisierung abgefedert. Sie kann sich auf ihre Entwicklung konzentrieren – der Rest ist geregelt.

Ob SBOM, CVE-Scans, Compliance oder Automatisierung: Alle Bausteine sind heute umsetzbar – mit den richtigen Prozessen, Tools und Partner:innen.

Gepardec begleitet dich auf dem Weg zur sicheren Software Supply Chain. Mit unserem Auto-Update-Service decken wir das kontinuierliche Scannen und Patchen von CVEs ab und sorgen gleichzeitig für Compliance-Reporting, SBOM-Management und Automatisierung sicherheitsrelevanter Prozesse.

So bleiben deine Systeme und Nachweise jederzeit auf dem aktuellen Stand.

Weitere Informationen:

• Auto-Update-Service für Individualsoftware
• Secure Java Code Upgrade
• NIS2-Compliance mit Gepardec
• DORA umsetzen für Tech-Leiter:innen