Software Supply Chain State of the Union 2025

Der Bericht "Software Supply Chain State of the Union 2025" beleuchtet, wie Sicherheitslücken, falsch eingestufte CVEs, mangelnde Governance bei ML-Modellen und weitere Schwachstellen das Vertrauen in neue Softwareentwicklung gefährden.

JFrog Ltd, das Unternehmen für Liquid Software und Entwickler der JFrog Software Supply Chain Platform, veröffentlicht heute seinen neuen Bericht "Software Supply Chain State of the Union 2025 ". Dieser analysiert aktuelle Bedrohungen der Softwaresicherheit, neu aufkommende Risiken im DevOps-Bereich und kritische Schwachstellen in einer zunehmend KI-dominierten Welt.

"Viele Unternehmen setzen verstärkt auf öffentliche ML-Modelle, um Innovationen zu fördern – ein klares Zeichen für die wachsende Bedeutung von KI. Doch mehr als ein Drittel verlässt sich weiterhin auf manuelle Prozesse, um den Zugriff auf sichere, genehmigte Modelle zu verwalten – ein potenzielles Sicherheitsrisiko", erklärt Yoav Landman, CTO und Mitbegründer von JFrog . "Diese Entwicklung wird sich weiter beschleunigen. Unternehmen sollten ihre Toolchains und Governance-Prozesse mit KI-gestützter Automatisierung modernisieren, um sowohl Sicherheit als auch Agilität zu gewährleisten und das Innovationspotenzial voll auszuschöpfen."

Die Sicherung der gesamten Software-Lieferkette ist essenziell für verlässliche Software-Releases. Der Bericht basiert auf Erkenntnissen von über 1.400 Entwicklungs- und Sicherheitsexperten aus den USA, Großbritannien, Frankreich, Deutschland, Indien und Israel sowie auf Daten von mehr als 7.000 JFrog-Kunden und Analysen des JFrog Security Research Teams zu bekannten Schwachstellen (CVEs). Die Ergebnisse verdeutlichen, warum diese Herausforderung im KI-Zeitalter noch kritischer wird.

Wichtige Erkenntnisse des Berichts:

• Vier zentrale Risikofaktoren für die Software-Lieferkette: Die größten Schwachstellen betreffen CVEs, bösartige Pakete, die Offenlegung sensibler Daten sowie Fehlkonfigurationen und menschliche Fehler. Das JFrog Security Research Team fand allein 25.229 offengelegte Secrets und Tokens in öffentlichen Repositories – ein Anstieg von 64 % gegenüber dem Vorjahr. Die zunehmende Bedrohungskomplexität erschwert eine konsistente Absicherung der Lieferkette.
• Steigende Bedrohung durch KI- und ML-Modelle: Im Jahr 2024 wurden über eine Million neue Modelle auf Hugging Face veröffentlicht, begleitet von einem 6,5-fachen Anstieg bösartiger Modelle. Dies zeigt, dass KI-Modelle verstärkt zum Ziel von Cyberangriffen werden.
• Manuelle Verwaltung von ML-Modellen birgt Risiken: Zwar setzen 94 % der Unternehmen auf zertifizierte Listen zur Nutzung von ML-Artefakten, jedoch verlassen sich 37 % weiterhin auf manuelle Prozesse zur Pflege dieser Listen. Dies schafft Unsicherheiten hinsichtlich der Sicherheit und Integrität von ML-Modellen.
• Unzureichende Sicherheitsscans führen zu blinden Flecken: Nur 43 % der IT-Experten geben an, dass ihre Organisation sowohl Code- als auch Binärscans durchführt – ein deutlicher Rückgang gegenüber 56 % im Vorjahr. Dadurch bleiben viele Bedrohungen unentdeckt.
• Zunehmende Zahl kritischer Schwachstellen – oft falsch bewertet: 2024 wurden über 33.000 neue CVEs gemeldet, ein Anstieg von 27 % gegenüber dem Vorjahr. Dies übertrifft das Wachstum neuer Softwarepakete (24,5 %). Zudem ergab die Analyse von JFrog Security, dass nur 12 % der als "kritisch" (CVSS 9.0–10.0) eingestuften CVEs tatsächlich ausnutzbar waren.

"Wir sehen ein Muster von CVE-Bewertungsstellen, die Risiken überbewerten und unnötige Panik erzeugen", erklärt Shachar Menashe, Vice President Security Research bei JFrog. "Das zwingt Entwickler dazu, irrelevante Sicherheitsmaßnahmen zu ergreifen, was nicht nur ihre Produktivität mindert, sondern auch zu Burnout und kritischen Fehlern führen kann."

Der Bericht thematisiert zudem die mangelnde Transparenz der Code-Herkunft in der Software-Lieferkette. Viele Entwickler laden Open-Source-Pakete direkt aus öffentlichen Registries herunter, ohne Schwachstellen oder Risiken zu berücksichtigen. Weitere Themen umfassen die Herausforderungen durch die "Sicherheits-Tool-Ausuferung" und vieles mehr.