In den letzten Wochen haben wir ein Muster gesehen, das erfordert, die Sicherheit der Software neu zu denken: Die Angreifer sind nicht mehr einverstanden, böswilligen Code in Pakete oder Container einzugeben, ihr immer häufigeres Ziel ist es, stehlen der Anmeldeinformationen und Token, die diese Software als "vertrauen" wirken lassen. Zeitgenössische Kampagnen haben gezeigt, dass die Entfernung von Geheimnissen aus Entwicklungsumgebungen und CI / CD-Pipelines einen schnellen und wirkungsstarken Weg zur Handhabung, Veröffentlichung und Bereitstellung legitimer Software bietet. Dies macht den Job des Entwicklers zu einem kritischen Link in der Lieferkette, nicht nur ein Endpunkt.
Diese Änderung erfordert ein anderes Risiko. Investitionen haben sich traditionell auf den Schutz von Repositorien, Artefakte, CI-Plattformen und Wolken konzentriert; diese Verteidigungen bleiben notwendig, aber unvollständig. Die eigentliche Eingangstür ist oft der lokale Kontext: klonierte Repositories, Umgebungsvariablen, Terminal Histories, geladene SSH-Agenten, .env-Dateien, Paketmanager-Konfigurationen und Browser-Sitzungen, die Token oder Hinweise enthalten, wo und wie Anmeldeinformationen verwendet werden.
Wenn ein Angreifer auf einen Token oder Schlüssel neben dem Pfad, wo er verwendet wird - eine Git-Fernbedienung, ein Bereitstellungsskript, ein Cloud-Profil - die einfache Information wird eine operative Karte. Deshalb ist die Bedrohung nicht nur "malicious code" sondern Kontext und Anmeldeinformationen Sammlung an dem genauen Punkt, wo Sie ihnen vertrauen. Die Geschwindigkeit von Automatisierung und IA-getriebenen Assistenten macht das Fenster zwischen Entdeckung und Ausbeutung extrem kurz.
Um dieses Risiko zu mindern, wird an mehreren Fronten und in Abstimmung zwischen Teams gearbeitet: AppSec, Endpoints Sicherheit, Identität, Plattform und Cloud-Operationen. Das bedeutet für Entwickler keine Reibung mehr, sondern intelligente Kontrollpunkte. Best Practices umfassen minimal privilegierte Zugriffskontrolle, identitätsbezogene ephemerale Anmeldeinformationen und Überprüfung des Gerätestatus vor der Erteilung von Token. Die Annahme von Modellen wie OIDC für CI und STS für Cloud-Sessions reduziert den Wert jedes Geheimnisses, das auf einer lokalen Festplatte ausgesetzt ist.
Auf betrieblicher Ebene ist es wichtig, Geheimnisse zu erkennen, bevor sie die lokale Ebene verlassen. Maßnahmen wie Vorkommit-Hooks, IDE-Scannen, Erkennung von Pipeline-Geheimnissen und Richtlinien, die das Engagement oder automatische Zusammenschlüsse blockieren, wenn Anmeldeinformationen identifiziert werden, reduzieren die Oberfläche. Frühe Telemetrie und kontextuelle Warnungen sind nützlicher als Strafberichte: Sie weisen auf Risiko hin und erlauben, ohne die Produktivität zu stoppen. Früherkennungstools sollten in den Workflow des Entwicklers integriert werden, nicht ersetzen.
Wir müssen auch über den Schutz der automatischen "Speicher" nachdenken: Codeassistenten und Automatisierungs-Agenten. Fragen, was sie lesen können, was sie laufen können und wo ihre Ausgänge enden, sind so wichtig wie die Vorsprechen externer Abhängigkeiten. Um die Leckage zu minimieren, wird empfohlen, Richtlinien zu erstellen, die verhindern, dass sensible Fragmente an externe Dienste gesendet werden, lokale Modellinstanzen verwenden, wenn möglich und filtern Echtzeitansagen und Protokolle.
Die Reaktion auf Vorfälle muss so schnell wie möglich sein. Wenn ein Workstation Engagement vermutet wird, muss die Organisation in der Lage sein, zu identifizieren, welche Anmeldeinformationen von dieser Maschine nutzbar waren, sie automatisch zu widerrufen oder zu drehen und die Verwendung von Token zu verfolgen. Die Koordination zwischen Endpunkterkennung, Identitätsverweigerung und Cloud-Messung reduziert die Belichtungszeit, die Angreifer nutzen.
Es gibt Leitlinien und Rahmen, die dazu beitragen, diesen ganzheitlichen Ansatz zu artikulieren: Die Ressourcen von Agenturen wie CISA bieten praktische Anleitungen für das Risikomanagement der Lieferkette und die Notfallreaktion, und NIST-Publikationen über das Risikomanagement der Lieferkette bieten Rahmen für die Priorisierung technischer und organisatorischer Kontrollen. Beratung dieser Materialien hilft, Intuitionen in repetitive Politik ( https: / / www.cisa.gov / Lieferkette, https: / / csrc.nist.gov / Publikationen / detail / sp / 800-161 / rev-1 / final) Darüber hinaus erfassen die von großen Lieferanten veröffentlichten praktischen Leitfaden für Lieferketten Sicherheitskontrollen in realen Umgebungen ( https: / / learn.microsoft.com / en-us / sicherheit / compass / software-supply-chain-security)
In der Praxis sollten die Organisationen beginnen, zu erfinden, welche Anmeldeinformationen von Entwicklungsstationen stammen oder verwendet werden können, Regeln für ihre Dauer und Privilegien festlegen, vor der Erkennung die Telemetrie begehen und verbessern, um schnell zu wissen, was gedreht werden soll. Gleichzeitig begrenzen die Implementierung von gerätebasierten Konfidenzkontrollen (Post-Mechanismen), eine starke Identitäts-Authentifizierung und minimale Privilegien in Repositorien und erfasst Schäden, wenn ein Leck auftritt.
Die Betriebsnachricht ist klar: die Entwicklungsstation als Versorgungskettengrenze behandeln, nicht mehr als ein Benutzer im Endpunkt Park. Durch die Änderung dieses Ansatzes können Sie präzise Steuerungen entwerfen, die die Entfernung von Anmeldeinformationen stoppen und die Logik des Angriffs brechen, wo die meisten Schäden verursachen können. In einer Welt, in der die Automatisierung sowohl die Lieferung als auch die Ausbeutung beschleunigt, ist Antizipieren und Zerschneiden des Vertrauens in die Herkunft die effektivste Verteidigung.
18-jährige ukrainische Jugend führt ein Netzwerk von Infostealern, die 28,000 Konten verletzt und $250.000 Verluste hinterlassen
Die ukrainischen Behörden, in Abstimmung mit US-Agenten. Sie haben sich auf eine Operation konzentriert Infostealer die laut der ukrainischen Cyber Police von Odessa angeblich v...
RAMPART und Clarity neu definieren die Sicherheit von IA-Agenten mit reproduzierbaren Tests und Governance von Anfang an
Microsoft hat zwei Open Source-Tools, RAMPART und Clarity vorgestellt, die darauf abzielen, die Sicherheit der IA-Agenten zu ändern: eine, die technische Tests automatisiert und...
Die digitale Signatur ist im Check: Microsoft befehligt einen Dienst, der Malware in scheinbar legitime Software verwandelt
Microsoft kündigte die Desartikulation einer "Malware-signing-as-a-Service" Operation, die sein Gerät Signatur-System ausgenutzt, um schädlichen Code in scheinbar legitime binär...
Ein einziger GitHub-Workflow-Token öffnete die Tür zur Software-Lieferkette
Ein einziger GitHub-Workflow-Token scheiterte in der Rotation und öffnete die Tür. Dies ist die zentrale Schlussfolgerung des Vorfalls in Grafana Labs nach der jüngsten Welle vo...
WebWorm 2025: die Malware, die in Discord und Microsoft Graphh versteckt ist, um die Erkennung zu umgehen
Die neuesten Beobachtungen von Cyber-Sicherheitsforschern weisen auf eine Veränderung der besorgniserregenden Taktik eines Schauspielers hin, der mit China verbunden ist. WebWor...
Identität ist nicht mehr genug: kontinuierliche Überprüfung des Gerätes für Echtzeitsicherheit
Identität bleibt das Rückgrat vieler Sicherheitsarchitekturen, aber heute knackt diese Spalte unter neuen Drücken: fortgeschrittene Phishing, Echtzeit-Proxy-Authentifizierungski...
Die dunkle Identitätsfrage verändert die Regeln der Unternehmenssicherheit
Der Identity Gap: Snapshot 2026 Bericht veröffentlicht von Orchid Security legt Zahlen auf einen gefährlichen Trend: die "dunkle Materie" der Identität - Konten und Anmeldeinfor...