Google stärkt die Sicherheit von Open-Source-Software
Google hat ein neues Projekt namens “OSS Rebuild” ins Leben gerufen, das die Sicherheit von Open-Source-Software deutlich verbessern soll. Der Kern des Projekts ist die reproduzierbare Erstellung bekannter Softwarepakete, ohne dabei zusätzliche Anforderungen an die ursprünglichen Entwickler zu stellen. Das Hauptziel besteht darin, die Transparenz in der Software-Lieferkette zu erhöhen und Angriffe auf weit verbreitete Abhängigkeiten zu erschweren.
OSS Rebuild richtet sich gezielt an Sicherheitsverantwortliche in Unternehmen und stellt ihnen Werkzeuge bereit, die es ermöglichen, Build-Prozesse automatisiert nachzubilden und zu verifizieren. Besonders im Fokus stehen zunächst Pakete aus den Ökosystemen PyPI (Python), npm (JavaScript/TypeScript) und Crates.io (Rust). Dabei werden Build-Definitionen genutzt, die aus den Originalpaketen abgeleitet und durch sogenannte SLSA-Attestierungen (Supply-chain Levels for Software Artifacts) ergänzt werden. Dadurch kann zuverlässig nachvollzogen werden, wie ein Softwarepaket erstellt wurde.
Die Bedeutung von Open Source
Laut Google repräsentieren Open-Source-Komponenten mittlerweile etwa 77 Prozent moderner Anwendungen und stellen mit einem geschätzten Gesamtwert von über 12 Billionen US-Dollar einen wesentlichen Bestandteil der digitalen Infrastruktur dar. Gleichzeitig nehmen gezielte Supply-Chain-Angriffe zu, wie beispielhaft an Fällen wie xz-utils oder solana/webjs im Jahr 2024 zu sehen ist. Diese Angriffe führten zur Einschleusung kompromittierter Builds in vertrauenswürdige Projekte. Herkömmliche Gegenmaßnahmen erfordern häufig die Mithilfe der Maintainer, wohingegen OSS Rebuild bewusst auf deren aktive Beteiligung verzichtet.
Unerwünschte Veränderungen verhindern
Das OSS Rebuild Tool dient dazu, zu prüfen, ob ein öffentlich zugängliches Software-Artefakt mit seiner dokumentierten Quellcode-Historie übereinstimmt. Dabei können auch subtile Veränderungen erkannt werden, wie etwa Backdoors, die nur in bestimmten Build-Umgebungen aktiviert werden. Für komplexe Pakete stehen zusätzliche manuelle Spezifikationen und der Einsatz Künstlicher Intelligenz zur Verfügung, sodass auch ältere oder schwer reproduzierbare Pakete abgesichert werden können.
Mehr Sicherheit mit weniger Aufwand
Neben den Sicherheitsvorteilen für Endnutzer verspricht OSS Rebuild auch Entlastung für Paket-Maintainer, da die Notwendigkeit, sicherheitskritische Continuous-Integration-Pipelines aufrechtzuerhalten, sinkt. Für Unternehmen wird die Reaktion auf Schwachstellen erleichtert, indem verifizierte Builds und präzisere Software-Billas-of-Materials (SBOMs) bereitgestellt werden. Alle Funktionen sind über eine Kommandozeilen-Toolschnittstelle zugänglich, die Rebuild, Provenance-Abruf und Paketvergleich umfasst.
Kampf gegen Internetbetrug und Online-Scams
Google rüstet seine Produkte mit neuen KI-gestützten Sicherheitsfunktionen auf, um Internetbetrug und Online-Scams zu bekämpfen. Ein zentrales Element dabei ist das KI-Modell Gemini Nano, das Nutzer vor verdächtigen Webseiten, betrügerischen Portalen und Phishing-Angriffen warnen soll.
SAP-Sicherheitslücke und kostenlose Tools
Sicherheitsexperten haben ein kostenloses Tool entwickelt, das Unternehmen dabei unterstützt, Cyberangriffe zu erkennen, die eine schwerwiegende Sicherheitslücke in SAP-Systemen ausnutzen. Diese Lücke ermöglicht es Angreifern, die vollständige Kontrolle über betroffene Server zu erlangen.
Schwachstelle im Google-Chrome-Browser
Forscher von Kaspersky haben eine bisher unbekannte Schwachstelle im Google-Chrome-Browser identifiziert, die offenbar für gezielte Spionageangriffe genutzt wurde. Der bloße Besuch einer manipulierten Webseite reicht aus, um Malware auf das betroffene System zu bringen.
Google hat ein Projekt namens “OSS Rebuild” gestartet, um die Sicherheit von Open-Source-Software zu verbessern. Es ermöglicht die reproduzierbare Erstellung von Softwarepaketen, um Transparenz zu erhöhen und Angriffe auf Abhängigkeiten zu erschweren. Besonders fokussiert es sich auf Pakete aus PyPI, npm und Crates.io. Das Tool prüft, ob Software-Artefakte ihrer Quellcode-Historie entsprechen, was unerwünschte Veränderungen wie Backdoors aufdeckt. Gleichzeitig verspricht es eine Entlastung für Maintainer, indem es die Notwendigkeit komplexer Sicherheits-Pipelines reduziert. OSS Rebuild ist über eine Kommandozeilen-Toolschnittstelle zugänglich.
Im Beitrag “Ransomware 2025 – Warum Familienunternehmen im Visier stehen” analysiert Der Windows Papst, weshalb gerade mittelständische und familiengeführte Betriebe zunehmend zur Zielscheibe von Cyberangriffen werden. Der Artikel beleuchtet aktuelle Entwicklungen, Angriffsmuster und gibt Tipps zur Abwehr. Besonders relevant für Unternehmen mit sensiblen Daten und begrenzten IT-Ressourcen. 👉 Zum Originalartikel auf der-windows-papst.de Ransomware 2025: […]
Heutzutage entwickeln Angreifer immer raffiniertere Methoden, um in Computersysteme einzudringen. Um dem entgegenzuwirken, müssen aktuelle Antivirenlösungen auch verschleierte Bedrohungen erkennen können. Das Institut AV-Test hat nun in einer umfassenden Untersuchung überprüft, wie gut diese Programme in der Praxis wirklich abschneiden. Dabei traten auch bei bekannten Softwarelösungen unerwartete Schwächen zutage.
Aktuelle Schwierigkeiten mit WSUS: Microsoft bestätigt Synchronisationsfehler, der die Verteilung von Windows-Updates unterbricht. Administratoren berichten von fehlgeschlagenen Verbindungen. Microsoft arbeitet an einer Lösung, aber es gibt kein offizielles Zeitfenster für die Behebung.
Der Einsatz von künstlicher Intelligenz in kritischen Bereichen erfordert Daten von höchster Qualität. Das Bundesamt für Sicherheit in der Informationstechnik hat mit dem Leitfaden QUAIDAL ein Werkzeug entwickelt, das die Qualität von Trainingsdaten bewertet und verbessert. Gerade Entwickler von Hochrisiko-KI-Systemen profitieren davon. Laut der Präsidentin des BSI ist die Zuverlässigkeit von KI-Systemen nur mit hochwertigen Trainingsdaten gewährleistet.
PeaZip 10.5 bringt zahlreiche Optimierungen, die die Arbeit mit Archiven erleichtern, insbesondere durch verbesserte Geschwindigkeit und Benutzerfreundlichkeit. Neue Sicherheits- und Analysefunktionen für Windows ermöglichen proaktive Warnungen bei potenziell gefährlichen Dateien und eine direkte Überprüfung von SHA256-Hashes. Die Version wurde mit Lazarus 4.0 kompiliert und die Archiv-Engine auf Pea 1.25 aktualisiert.
Datenschutzeinstellungen
Wir benötigen Ihre Zustimmung, bevor Sie unsere Website weiter besuchen können.Wenn Sie unter 16 Jahre alt sind und Ihre Zustimmung zu freiwilligen Diensten geben möchten, müssen Sie Ihre Erziehungsberechtigten um Erlaubnis bitten.Wir verwenden Cookies und andere Technologien auf unserer Website. Einige von ihnen sind essenziell, während andere uns helfen, diese Website und Ihre Erfahrung zu verbessern.Personenbezogene Daten können verarbeitet werden (z. B. IP-Adressen), z. B. für personalisierte Anzeigen und Inhalte oder Anzeigen- und Inhaltsmessung.Weitere Informationen über die Verwendung Ihrer Daten finden Sie in unserer Datenschutzerklärung.Sie können Ihre Auswahl jederzeit unter Einstellungen widerrufen oder anpassen.
Wenn Sie unter 16 Jahre alt sind und Ihre Zustimmung zu freiwilligen Diensten geben möchten, müssen Sie Ihre Erziehungsberechtigten um Erlaubnis bitten.Wir verwenden Cookies und andere Technologien auf unserer Website. Einige von ihnen sind essenziell, während andere uns helfen, diese Website und Ihre Erfahrung zu verbessern.Personenbezogene Daten können verarbeitet werden (z. B. IP-Adressen), z. B. für personalisierte Anzeigen und Inhalte oder Anzeigen- und Inhaltsmessung.Weitere Informationen über die Verwendung Ihrer Daten finden Sie in unserer Datenschutzerklärung.Hier finden Sie eine Übersicht über alle verwendeten Cookies. Sie können Ihre Einwilligung zu ganzen Kategorien geben oder sich weitere Informationen anzeigen lassen und so nur bestimmte Cookies auswählen.
powered by Borlabs Cookie