-
Continue reading →: Was ein QuickCheck findet: Anonymisierte Befunde aus echten PipelinesDie häufigste Frage vor einem GitSecOps QuickCheck lautet: Was kommt dabei eigentlich raus? Niemand will Geld für einen Bericht ausgeben, der nur bestätigt, was man ohnehin ahnt. Deshalb hier ein nüchterner Blick auf Befunde, die in echten Pipelines immer wieder auftauchen. Alles anonymisiert, keine Firmennamen, keine Repos. Aber die Muster…
-
Continue reading →: Dependency Confusion: Der Angriff, den fast niemand auf dem Schirm hatDie meisten Software-Teams kennen ihre Abhängigkeiten aus öffentlichen Registries: npm, PyPI, Maven Central. Was dabei oft übersehen wird, sind die eigenen internen Pakete, die unter einem hauseigenen Namen laufen. Genau dort sitzt eine Lücke, die 2021 reihenweise Konzerne wie Apple, Microsoft und PayPal getroffen hat. Sie heißt Dependency Confusion und…
-
Continue reading →: Signierte Commits und Artefakte: Wann sich das lohntSignaturen klingen nach Aufwand, der sich nur für große Konzerne rechnet. Das stimmt so nicht. Ein signierter Commit oder ein signiertes Build-Artefakt beantwortet eine einfache Frage: Stammt dieser Code oder dieses Paket wirklich von dem, der behauptet es gebaut zu haben? Wer das nicht belegen kann, vertraut blind. Die eigentliche…
-
Continue reading →: AI Governance: Was der EU AI Act für selbst gebaute KI-Features bedeutetViele Softwarehäuser bauen inzwischen KI-Features selbst ein. Ein Chatbot im Support, eine Textzusammenfassung im Produkt, ein Scoring-Modell für Leads. Das passiert oft nebenbei, ohne dass jemand prüft, ob daraus regulatorische Pflichten entstehen. Der EU AI Act ist seit August 2024 in Kraft und wird gestaffelt scharf. Wer KI in eigene…
-
Continue reading →: SLSA-Level erklärt: Wie viel Lieferketten-Sicherheit braucht ein MittelständlerSLSA steht für Supply-chain Levels for Software Artifacts. Es ist ein Rahmenwerk, das beschreibt, wie nachvollziehbar und manipulationssicher der Weg vom Quellcode zum fertigen Artefakt ist. Vier Stufen, von 0 bis 3, mit steigenden Anforderungen. Die Frage für einen Mittelständler ist nicht, ob SLSA gut klingt, sondern welche Stufe den…
-
Continue reading →: Pipeline-Härtung: 5 Schwachstellen in typischen GitHub-Actions-WorkflowsGitHub Actions ist für viele kleine Softwarehäuser die zentrale Pipeline. Code landet im Repo, ein Workflow baut, testet und deployt. Das ist praktisch und genau deshalb gefährlich: Die Pipeline hat Zugriff auf Secrets, Cloud-Konten und Produktivumgebungen. Wer sie kompromittiert, braucht den Server nicht mehr anzugreifen. Hier sind fünf Schwachstellen, die…
-
Continue reading →: Cyber Resilience Act konkret: Was kleine Softwarehäuser bis 2027 tun müssenDer Cyber Resilience Act ist seit Ende 2024 in Kraft. Viele kleine Softwarehäuser halten ihn für ein Thema großer Gerätehersteller. Das ist ein Irrtum. Wer Software mit vernetzten Funktionen in der EU verkauft, fällt darunter. Eine Ausnahme für kleine Firmen gibt es nicht. Was zählt, sind zwei Fristen und vier…
-
Continue reading →: Secrets im Code: Warum Tokens im Git-Repo die häufigste Lücke sindDie häufigste Schwachstelle, die wir in echten Pipelines finden, ist keine exotische Zero-Day-Lücke. Es ist ein API-Token, ein Datenbankpasswort oder ein Cloud-Zugangsschlüssel, der im Klartext in einem Git-Repository liegt. Meist nicht einmal versteckt, sondern in einer Konfigurationsdatei, einem Test-Skript oder einer alten Commit-Nachricht. Wer Software baut, hat diese Lücke mit…
-
Continue reading →: SBOM 2026: Warum jede Software-Firma jetzt eine Software-Stückliste brauchtSolarWinds, Log4Shell, der xz-Backdoor: Die teuersten Sicherheitsvorfälle der letzten Jahre hatten eines gemeinsam. Niemand wusste genau, welche fremde Software im eigenen Produkt steckte. Genau hier setzt die SBOM an, die Software-Stückliste. 2026 ist sie kein Nice-to-have mehr, sondern wird zur Eintrittskarte in viele Geschäfte. Was eine SBOM überhaupt ist SBOM…
