Abhängigkeiten aktuell halten: Wie Beta Systems die Software-Lieferkette sichert

Die meisten Softwareprodukte stützen sich auf Hunderte direkter und transitiver Abhängigkeiten, wodurch schnell ein komplexes Geflecht („Supply Chain Graph“) mit Tausenden von Paketen entsteht. Jedes Paket kann zu einem Einfallstor für Schwachstellen werden, oft auch indirekt. 

Genau wie in der physischen Produktion, wo jede Komponente geprüft und sicher sein muss, hängt die Sicherheit der Software-Lieferkette von der Transparenz und Kontrolle aller Abhängigkeiten ab. Ohne diese Übersicht drohen Unternehmen: 

• Zero-Day- und N-Day-Exploits (Sicherheitslücken, deren Patches von Angreifern per Reverse Engineering analysiert wurden) 

• Compliance-Verstöße (z. B. gegen NIS-2, DORA, Cyber Resilience Act) 

• Reputationsschäden und finanzielle Verluste durch Sicherheitsverletzungen 

Beta Systems vereinfacht sowohl das Abhängigkeits- als auch das Schwachstellenmanagement, indem repetitive Aufgaben automatisiert werden, während kritische Entscheidungen weiterhin von Experten getroffen werden. Dieser ausgewogene Ansatz hat sich als zuverlässiger erwiesen als extreme Methoden. Manuelle Prüfungen allein können mit dem ständigen Wandel nicht Schritt halten, doch sich ausschließlich auf Automatisierung zu verlassen, ist ebenfalls unsicher. Angriffe auf die Lieferkette haben gezeigt, wie schnell ein bösartiges Update durchrutschen kann, wenn niemand hinsieht. 

Anstatt einem starren Vorgabe zu folgen, entwickelt sich unser Framework ständig weiter. Das Fundament ruht auf drei Säulen: 

• Automatisierung, um veraltete Abhängigkeiten und bekannte Schwachstellen zu kennzeichnen 

• Standardisierte CI/CD-Pipelines, die aus wiederverwendbaren GitLab-Komponenten bestehen 

• Expertenprüfung und eine starke Sicherheitskultur, die sicherstellen, dass finale Entscheidungen von Menschen getroffen werden 

• Wiederverwendbare Pipeline-Komponenten helfen Teams, konsistente DevSecOps-Praktiken zu befolgen. 

• Zentrale Wartung durch das Platform Services Team reduziert doppelten Aufwand. 

• Standardisierte Jobs für Abhängigkeits-Updates und Sicherheits-Scans. 

• Einheitliches Tooling steigert die Produktivität der Entwickler. 

• Erkennt Versionsabweichungen („Drift“) in npm, Maven, Gradle, Docker und IaC. 

• Erstellt automatisch Merge Requests für Upgrades. 

• Unterstützt Strategien für Patch-, Minor- und Major-Versionen. 

• Kein Auto-Merge – jedes Update wird von einem Entwickler geprüft, um Risiken in der Lieferkette zu minimieren. 

• Scannt während der Entwicklungs- und Build-Phasen mithilfe mehrerer Schwachstellendatenbanken nach CVEs. 

• Erkennt Fehlkonfigurationen in Infrastructure-as-Code (IaC) sowie fest im Code hinterlegte Secrets in Repositories. 

• Stützt sich auf Lock-Dateien zur Sicherstellung der Integrität und zur Versionsfixierung („Pinning“). 

• Software Bill of Materials (SBOMs) als Input von cdxgen und DejaCode im CycloneDX-Format. 

• Überwacht systematisch Abhängigkeiten in veröffentlichter Software mit OWASP Dependency-Track. 

• Erstellt automatisch Tickets für identifizierte CVEs. 

• Nutzt Vulnerability Exploitability eXchange (VEX) und Vulnerability Disclosure Report (VDR) für ein standardisiertes Reporting über die Ergebnisse des Schwachstellenmanagements. 

• Liefert Dokumentation zur Einhaltung des Cyber Resilience Act sowie Transparenz im Hinblick auf NIS2 und DORA. 

Technologie allein kann die Software-Lieferkette nicht sichern. Die wahre Stärke liegt in den Menschen und Prozessen: 

• Ein Secure Software Development Lifecycle (SDLC) Framework, das Teams von Anfang bis Ende begleitet. 

• Entwicklerschulungen, die auf realen Vorfällen basieren, nicht nur auf Theorie. 

• Tägliche Zusammenarbeit zwischen Entwicklern und AppSec-Experten, wodurch Sicherheit zu einem integralen Bestandteil der Entwicklung wird und nicht erst nachträglich berücksichtigt wird. 

• Klare und transparente Schwachstellenberichte bei jedem Release, damit Risiken sichtbar und Entscheidungen nachvollziehbar sind. 

Die Sicherheitskultur bei Beta Systems ist nicht abstrakt. Sie prägt aktiv, wie Entscheidungen über Abhängigkeiten getroffen, dokumentiert und mit Compliance-Anforderungen in Einklang gebracht werden. 

Die Kompromittierung der npm-Pakete chalk und debug sowie der Ausbruch des Shai-Hulud-Wurms im September und November 2025 haben eine wichtige Lektion verdeutlicht: Blinde Automatisierung ist riskant. In diesem Fall fügten Angreifer bösartigen Code in Bibliotheken ein, die milliardenfach heruntergeladen wurden. Wären diese Updates automatisch gemergt („auto-merged“) worden, hätten infizierte Versionen fast sofort die Produktionsumgebungen erreicht. 

Bei Beta Systems haben wir einen anderen Weg gewählt. Renovate bereitet die Updates zwar vor, sie werden jedoch erst nach einer Überprüfung durch Entwickler freigegeben. Dieses bewusste Innehalten wahrt das richtige Gleichgewicht zwischen Geschwindigkeit, Automatisierung und Risikokontrolle. 

Durch die Kombination aus CI/CD-Automatisierung, Sicherheitstools und fachlicher Expertise erreicht Beta Systems: 

• Schnellere Behebung von Schwachstellen ohne Beeinträchtigung der Stabilität. 

• Eine reduzierte Angriffsfläche durch proaktive Überwachung von Abhängigkeiten. 

• Compliance mit dem Cyber Resilience Act und Unterstützung für Kunden im Rahmen von NIS2 und DORA. 

• Weniger Zeitaufwand für die CI-Wartung dank gemeinsam genutzter GitLab-Komponenten. 

• Größere Transparenz für Kunden durch SBOM-basiertes Reporting. 

Das Aktualisieren von Software-Abhängigkeiten ist keine Option, sondern eine Notwendigkeit für die Sicherung der Software-Lieferkette. Angesichts tausender neuer CVEs, die monatlich veröffentlicht werden, benötigen Unternehmen einen Ansatz, der automatisiert, skalierbar und regelkonform ist, aber dennoch die Kontrolle durch Experten sicherstellt. 

Bei Beta Systems bieten wir genau das: 

• Automatisierte Erkennung und Scans mit Trivy und Renovate. 

• Kontinuierliche Überwachung mittels SBOMs und OWASP Dependency-Track. 

• Standardisierte Pipelines mit GitLab-Komponenten. 

• Eine starke Sicherheitskultur über den gesamten SDLC hinweg. 

Das Ergebnis: sichere, konforme und resiliente Software, der unsere Kunden vertrauen können.