Logo Beta Systems

Abhängigkeiten aktuell halten: Wie Beta Systems die Software-Lieferkette sichert

Blog-Artikel·6 min
Robert Gützkow
Product Security Engineer
Sebastian Mende
Software Engineer Platform Services

Das Wichtigste auf einen Blick

  • Open-Source ist Chance und Risiko zugleich. Jede Abhängigkeit erweitert die Funktionalität, aber auch die Angriffsfläche.

  • Die Komplexität moderner Software erfordert volle Transparenz. Hunderte direkte und transitive Dependencies machen strukturiertes Management unverzichtbar.

  • Automatisierung plus Expertenprüfung ist der Schlüssel. Tools allein reichen nicht, finale Entscheidungen bleiben in menschlicher Verantwortung.

  • Integrierte Toolchain sorgt für Kontrolle und Compliance. CI/CD-Standards, automatisierte Scans, SBOMs und kontinuierliches Monitoring greifen ineinander.

  • Eine gelebte Sicherheitskultur macht den Unterschied. Sicherheit ist fester Bestandteil des gesamten SDLC und jedes Releases.

Mehr erfahren

Open-Source-Abhängigkeiten bilden das Rückgrat moderner Softwareentwicklung. Sie beschleunigen Innovation, reduzieren den Entwicklungsaufwand und ermöglichen es, komplexe Systeme in kurzer Zeit zu realisieren. Diese Effizienz hat jedoch ihren Preis: Jede externe Bibliothek wird Teil der eigenen Sicherheitsarchitektur. In diesem Artikel zeigen wir, wie Beta Systems die Software-Lieferkette durch effektives Dependency Management und Automatisierung absichert.

Eine wachsende Angriffsfläche

Die Bedrohungslage entwickelt sich rasant. Allein in den ersten drei Monaten des Jahres 2025 verzeichnete die MITRE Foundation mehr als 12.000 neue Common Vulnerabilities and Exposures (CVEs), im Durchschnitt rund 130 neue Einträge pro Tag. Jeder Einzelne könnte im Prinzip Drittanbieter-Code innerhalb eines Produkts betreffen. Prominente Vorfälle wie Log4Shell (CVE-2021-44228) oder die Kompromittierung von npm-Paketen durch den Shai-Hulud-Wurm verdeutlichen, wie schnell sich eine einzelne Schwachstelle auf Millionen Systeme auswirken kann.

Ohne einen klaren und strukturierten Ansatz im Umgang mit Abhängigkeiten verlieren Unternehmen Transparenz und Kontrolle. Um zu verstehen, warum diese Herausforderung so anspruchsvoll ist, lohnt sich ein Blick auf die Struktur moderner Software-Lieferketten.

Die Komplexität der modernen Software-Lieferkette

Die meisten Softwareprodukte stützen sich auf Hunderte direkter und transitiver Abhängigkeiten, wodurch schnell ein komplexes Geflecht („Supply Chain Graph“) mit Tausenden von Paketen entsteht. Jedes Paket kann zu einem Einfallstor für Schwachstellen werden, oft auch indirekt.

Genau wie in der physischen Produktion, wo jede Komponente geprüft und sicher sein muss, hängt die Sicherheit der Software-Lieferkette von der Transparenz und Kontrolle aller Abhängigkeiten ab. Ohne diese Übersicht drohen Unternehmen:

  • Zero-Day- und N-Day-Exploits (Sicherheitslücken, deren Patches von Angreifern per Reverse Engineering analysiert wurden)

  • Compliance-Verstöße (z. B. gegen die Anforderungen der NIS-2-Richtlinie, DORA oder den Cyber Resilience Act)

  • Reputationsschäden und finanzielle Verluste durch Sicherheitsverletzungen 

Die Strategie von Beta Systems: Automatisierung und Expertise

Beta Systems vereinfacht sowohl das Abhängigkeits- als auch das Schwachstellenmanagement, indem repetitive Aufgaben automatisiert werden, während kritische Entscheidungen weiterhin von Experten getroffen werden. Dieser ausgewogene Ansatz hat sich als zuverlässiger erwiesen als extreme Methoden.

Manuelle Prüfungen allein können mit dem ständigen Wandel nicht Schritt halten. Doch sich ausschließlich auf Automatisierung zu verlassen, ist ebenfalls unsicher. Angriffe auf die Lieferkette („Supply Chain Attacks“) haben gezeigt, wie schnell ein bösartiges Update durchrutschen kann, wenn niemand hinsieht.

Anstatt einer starren Vorgabe zu folgen, entwickelt sich unser Framework stetig weiter. Das Fundament ruht auf drei Säulen:

  • Automatisierung, um veraltete Abhängigkeiten und bekannte Schwachstellen zu kennzeichnen

  • Standardisierte CI/CD-Pipelines, die aus wiederverwendbaren GitLab-Komponenten bestehen

  • Expertenprüfung und eine starke Sicherheitskultur, die sicherstellen, dass finale Entscheidungen von Menschen getroffen werden

Kernbausteine eines sicheren Abhängigkeitsmanagements

1. CI/CD-Pipelines und Komponenten mit GitLab

  • Wiederverwendbare Pipeline-Komponenten helfen Teams, konsistente DevSecOps-Praktiken zu befolgen

  • Zentrale Wartung durch das Platform Services Team reduziert doppelten Aufwand

  • Standardisierte Jobs für Abhängigkeits-Updates und Sicherheits-Scans

  • Einheitliches Tooling steigert die Produktivität der Entwickler

2. Automatisierte Abhängigkeiten mit Renovate

  • Erkennt Versionsabweichungen („Drift“) in npm, Maven, Gradle, Docker und IaC

  • Erstellt automatisch Merge Requests für Upgrades

  • Unterstützt Strategien für Patch-, Minor- und Major-Versionen

  • Kein Auto-Merge – jedes Update wird von einem Entwickler geprüft, um Risiken in der Lieferkette zu minimieren

3. Schwachstellen- und Sicherheits-Scans mit Trivy

  • Scannt während der Entwicklungs- und Build-Phasen mithilfe mehrerer Schwachstellendatenbanken nach CVEs

  • Erkennt Fehlkonfigurationen in Infrastructure-as-Code (IaC) sowie fest im Code hinterlegte Secrets in Repositories

  • Stützt sich auf Lock-Dateien zur Sicherstellung der Integrität und zur Versionsfixierung („Pinning“)

4. SBOMs und OWASP mit Dependency-Track

  • Software Bill of Materials (SBOMs) als Input von cdxgen und DejaCode im CycloneDX-Format

  • Überwacht systematisch Abhängigkeiten in veröffentlichter Software mit OWASP Dependency-Track

  • Erstellt automatisch Tickets für identifizierte CVEs

  • Nutzt Vulnerability Exploitability eXchange (VEX) und Vulnerability Disclosure Report (VDR) für ein standardisiertes Reporting über die Ergebnisse des Schwachstellenmanagements

  • Liefert Dokumentation zur Einhaltung des Cyber Resilience Act sowie Transparenz im Hinblick auf NIS-2 und DORA

Mehr als nur Tools: Aufbau einer Sicherheitskultur

Technologie allein kann die Software-Lieferkette nicht sichern. Die wahre Stärke liegt in den Menschen und Prozessen: 

  • Ein Secure Software Development Lifecycle (SDLC) Framework, das Teams von Anfang bis Ende begleitet

  • Entwicklerschulungen, die auf realen Vorfällen basieren, nicht nur auf Theorie

  • Tägliche Zusammenarbeit zwischen Entwicklern und AppSec-Experten, wodurch Sicherheit zu einem integralen Bestandteil der Entwicklung wird und nicht erst nachträglich berücksichtigt wird

  • Klare und transparente Schwachstellenberichte bei jedem Release, damit Risiken sichtbar und Entscheidungen nachvollziehbar sind

Die Sicherheitskultur bei Beta Systems ist nicht abstrakt. Sie prägt aktiv, wie Entscheidungen über Abhängigkeiten getroffen, dokumentiert und mit Compliance-Anforderungen in Einklang gebracht werden. 

Fallstudie: Prävention von Angriffen auf die Lieferkette

Die Kompromittierung der npm-Pakete chalk und debug sowie der Ausbruch des Shai-Hulud-Wurms im September und November 2025 haben eine wichtige Lektion verdeutlicht: Blinde Automatisierung ist riskant. In diesem Fall fügten Angreifer bösartigen Code in Bibliotheken ein, die milliardenfach heruntergeladen wurden. Wären diese Updates automatisch gemergt („auto-merged“) worden, hätten infizierte Versionen fast sofort die Produktionsumgebungen erreicht. 

Bei Beta Systems haben wir einen anderen Weg gewählt. Renovate bereitet die Updates zwar vor, sie werden jedoch erst nach einer Überprüfung durch Entwickler freigegeben. Dieses bewusste Innehalten wahrt das richtige Gleichgewicht zwischen Geschwindigkeit, Automatisierung und Risikokontrolle. 

Vorteile des Beta Systems-Ansatzes

Durch die Kombination aus CI/CD-Automatisierung, Sicherheitstools und fachlicher Expertise erreicht Beta Systems:

  • Schnellere Behebung von Schwachstellen ohne Beeinträchtigung der Stabilität

  • Eine reduzierte Angriffsfläche durch proaktive Überwachung von Abhängigkeiten

  • Compliance mit dem Cyber Resilience Act und Unterstützung für Kunden im Rahmen von NIS-2 und DORA

  • Weniger Zeitaufwand für die CI-Wartung dank gemeinsam genutzter GitLab-Komponenten

  • Größere Transparenz für Kunden durch SBOM-basiertes Reporting

Fazit

  • Das Aktualisieren von Software-Abhängigkeiten ist keine Option, sondern eine Notwendigkeit für die Sicherung der Software-Lieferkette. Angesichts tausender neuer CVEs, die monatlich veröffentlicht werden, benötigen Unternehmen einen Ansatz, der automatisiert, skalierbar und regelkonform ist, aber dennoch die Kontrolle durch Experten sicherstellt.

  • Bei Beta Systems bieten wir genau das: automatisierte Erkennung und Scans mit Trivy und Renovate, kontinuierliche Überwachung mittels SBOMs und OWASP Dependency-Track, standardisierte Pipelines mit GitLab-Komponenten und eine starke Sicherheitskultur über den gesamten SDLC hinweg.

  • Das Ergebnis: sichere, konforme und resiliente Software, der unsere Kunden vertrauen können.

Autoren

Robert Gützkow
Product Security Engineer

Robert Gützkow ist DevSecOps Specialist und Product Security Engineer bei Beta Systems. Seit September 2022 fördert er kontinuierlich die Verbesserung der internen Entwicklungsinfrastruktur, die Implementierung von Sicherheitstools in CI/CD-Pipelines und die Modernisierung des Software Development Lifecycle (SDLC). Durch Beratung der Entwicklung bei Design- und Sicherheitsfragen, Bewertung von CVEs, Leitung von Security-Schulungen, Erstellung der kryptografischen Sicherheitsrichtlinie und Durchführung von Penetration Tests trägt er maßgeblich zur Qualität der Produkte von Beta Systems bei.

Sebastian Mende
Software Engineer Platform Services

Seit 2022 ist Sebastian Mende als Senior Software Engineer bei Beta Systems eine tragende Säule der technologischen Weiter- und Neuentwicklung zentraler Kernkomponenten. Mit einem ausgeprägten Blick für Architektur, Nachhaltigkeit und Qualität entwickelt er maßgeblich die Grundlagen moderner CI/CD-Landschaft und etabliert Best Practices für Frameworks, Code-Strukturen und Softwarequalität, die teamübergreifend Maßstäbe setzen.

Neben der konzeptionellen und operativen Arbeit verantwortet er die technische Leitung des neuen Lizenzmanagement-Toolings und treibt dessen Architektur, Integration und Weiterentwicklung voran. Darüber hinaus engagiert er sich aktiv im Wissenstransfer: Er unterstützt Kolleginnen und Kollegen bei komplexen technischen Fragestellungen, bietet Wissentransfers und Enablement rund um CI/CD-Pipelines an und sorgt dafür, dass moderne Entwicklungsstandards nicht nur definiert, sondern auch gelebt werden.

Durch seine Kombination aus tiefem technischem Verständnis, strategischem Denken und pragmatischer Umsetzung leistet Sebastian Mende einen entscheidenden Beitrag zur Innovationskraft und technologischen Exzellenz von Beta Systems.

Weitere Ressourcen

Blog-Artikel
it-and-dora.jpg

Strategische Transformation: IT-Sicherheit und Compliance im Einklang mit DORA

Anstatt auf Standard-Softwarelösungen zurückzugreifen, entscheiden sich viele Unternehmen für die Entwicklung eigener Anwendungen – denn diese sind optimal auf die unternehmenseigenen Anforderungen zugeschnitten und bieten meist langfristig Kostenvorteile. Warum Eigenentwicklungen auch zu Problemen – insbesondere in Sachen Compliance – führen können und was die neue EU-Verordnung DORA (Digital Operational Resilience Act) damit zu tun hat, verdeutlicht das nachfolgende Kundenbeispiel.
Artikel lesen
Blog-Artikel
it-security-and-logistic.jpg

IT-Sicherheit in der Logistik: Warum IAM für Logistikunternehmen wichtig ist

In einer Welt, in der globale Lieferketten das Rückgrat unserer Wirtschaft bilden, steht die Logistikbranche vor enormen Chancen, aber auch Herausforderungen. Effiziente und rechtzeitige Warenlieferungen sind heute wichtiger denn je, doch mit der zunehmenden Digitalisierung steigen auch Risiken und Anforderungen. Während digitale Innovationen die Effizienz steigern, machen sie die Branche gleichzeitig anfälliger für Cyber-Angriffe und damit häufig verbundene Datenverluste. In diesem Kontext wird Identity Access Management (IAM) zu einem unverzichtbaren Instrument, um Logistikunternehmen zu schützen und ihre Effizienz zu maximieren. Lesen Sie hier, warum IAM für die Logistikbranche so essenziell ist und wie es dabei hilft, die vielfältigen Herausforderungen zu meistern.
Artikel lesen
Blog-Artikel
Schwarzes Buch mit der Aufschrift EU Regulation neben Europa-Flagge

NIS-2-Richtlinie: So meistern mittelständische Unternehmen die Compliance-Anforderungen effizient

Die EU-Richtlinie NIS-2 stellt den Mittelstand vor eine der größten Herausforderungen der letzten Jahre: Sie verlangt nicht nur umfassende technische und organisatorische Maßnahmen, sondern auch einen Kulturwandel im Umgang mit IT-Sicherheit. Für Unternehmen, die sensible Konstruktionsdaten, Kundendaten oder Produktionsinformationen verarbeiten, ist die Einhaltung der NIS-2 nicht optional – sie ist Pflicht und wird mit hohen Bußgeldern sowie persönlicher Haftung der Geschäftsführung sanktioniert. Doch wie lassen sich die komplexen Anforderungen pragmatisch und kosteneffizient umsetzen?
Artikel lesen