In einem Blog Post vom 26. März 2024 hat GitLab seine Pläne vorgestellt, ein neues Feature zur Verbesserung der Sicherheit in Software-Lieferketten einzuführen. Die für die zweite Jahreshälfte 2024 geplante „Dependency-Firewall“ soll ein robustes Verteidigungssystem gegen Angriffe auf die Software-Supply-Chain, wie Typosquatting und Dependency-Confusion-Angriffe, darstellen.
Nach der Veröffentlichung des Maven-Dependency-Proxys in GitLab 16.8, der es Organisationen ermöglicht, Pakete von einem vorgelagerten Repository direkt in ein GitLab-Projekt zu proxien und zu cachen, wurde der Bedarf an verstärkten Sicherheitsmaßnahmen deutlich. Die Abhängigkeits-Firewall zielt darauf ab, diese Risiken zu adressieren, indem sie Warnungen ausgibt oder Downloads basierend auf den von der Organisation festgelegten Richtlinien blockiert. Sie fungiert als Wächter, der sicherstellt, dass jedes neue Paket vor der Zulassung in die Software-Lieferkette gegen die Richtlinie von GitLab geprüft wird. Die Firewall wird auch Funktionen zum Unter Quarantäne Stellen von Paketen zur Überprüfung, zum Verwalten dieser Pakete und zum Berichten über die Paketnutzung bieten.
Die erste Implementierung der Abhängigkeits-Firewall wird sich darauf konzentrieren, Warnungen für Pakete mit bekannten kritischen Schwachstellen auszugeben. Zukünftige Erweiterungen werden die Unterstützung für die Identifizierung von Schwachstellen mit geringerer Schwere, das Hinzufügen von Warnungen in der Paketregistrierungs-UI-Listenansicht und das Festlegen von Regeln zum Unter Quarantäne Stellen von Paketen umfassen.
Professionelle Hilfe erwünscht?
Sentiguard ist spezialisiert auf Notfallhilfe nach Cyberattacken, IT Sicherheitsbeauftragte und IT Sicherheitskonzepte nach BSI Standard. Haben Sie Fragen und wünschen Sie unverbindliche Beratung, dann melden Sie sich gerne bei uns: