background

Der JFrog-Bericht zur Sicherheit der Software-Lieferkette: Zum Stand der Dinge 2026

Die wachsende Governance-Lücke.
Mehr Pakete. Mehr bösartige Modelle. Mehr Angriffsflächen, die es vor einem Jahr noch nicht gab. Und mittendrin reduzierten Unternehmen die Zahl ihrer Tools für Anwendungssicherheit um fast die Hälfte. Unternehmen sind fest davon überzeugt, dass sie schlanker, schneller, zielgerichteter und mit mehr Kontrolle arbeiten und mit weniger mehr erreichen. Aber stimmt das wirklich?
Der Report 2026 kombiniert originäre Threat Intelligence des JFrog -Sicherheitsforschungsteams, Daten für das ganze Jahr JFrog Platformund Antworten von über 1.500 Sicherheits- und DevOps-Experten aus acht Ländern, um zu zeigen, wo die Sicherheit der Software-Lieferkette heute tatsächlich steht und wo Governance-Lücken stärker zunehmen, als viele zugeben möchten.

Bericht herunterladen

Der JFrog-Bericht zur Sicherheit der Software-Lieferkette 2026 kommt zu folgendem Ergebnis:

0
Mio.
neue Pakete wurden 2025 in Software-Lieferketten aufgenommen,
 67 % mehr als im Vorjahr.
Wie viele wurden überprüft?
0
neue bösartige Pakete wurden 2025 entdeckt – in einem Jahr, in dem nur 40 % der Unternehmen Erkennungstools im Einsatz hatten.
Welches Paket führte die Liste an?
0
%
der Unternehmen betreiben KI-Modelle auf ihrer eigenen Infrastruktur und riskieren damit, schädlichen Payloads in Open-Source-Modelle ausgesetzt zu sein.
Was wurde gefunden?
0
%
der Unternehmen benötigen mehr als eine Woche, um bei einem Audit die Compliance einer einzigen Anwendung nachzuweisen.
Wo hakt es?

Die Ecosystem-Map wird neu geordnet

Npm hat Maven beim Traffic als meistgenutztes Paket-Ökosystem in Unternehmen überholt. Gleichzeitig hat Hugging Face die Marke von 1,4 Millionen neuen Modellen überschritten und ist damit bei den neu hinzugefügten Paketen pro Jahr fast auf Augenhöhe mit Docker Hub. Dabei repräsentiert es eine völlig andere Art von Artefakten, für die traditionelle Paket-Governance nie ausgelegt war.
Mehr erfahren
2025
2024
src=
src=
src=
src=

Nicht alle Schwachstellen sind das, was sie zu sein scheinen

Die Gesamtzahl der offengelegten CVEs ist um 20 % auf über 48.000 gestiegen, wodurch eine volumenbasierte Triage unmöglich wird. Doch die Anzahl allein ist kein verlässlicher Indikator. Bei einer Analyse von 248 High-Profile-CVEs stellte JFrog fest, dass nur 11,9 % tatsächlich ausnutzbar waren. Das bedeutet, dass 88 % der kritischen Alerts nur Rauschen produzieren und Entwicklern wertvolle Zeit kosten.
Mehr erfahren
66.5% 21.7% 11.9%
248
CVE-Anwendbarkeit
Geringe Anwendbarkeit
(0 %–20 % Anwendbarkeit)
Mittlere Anwendbarkeit
(20 %–80 % Anwendbarkeit)
Hohe Anwendbarkeit
(80 %–100 % Anwendbarkeit)

Injection-Schwachstellen sind um 3.110 % gestiegen. Ihr KI-Coding-Assistent lässt grüßen.

Cross-Site-Scripting-CVEs haben sich fast verdreifacht. SQL-Injection-CVEs sind in einem einzigen Jahr um 445 % gestiegen. Injection-Schwachstellen nahmen um 3.110 % zu. Dabei handelt es sich um seit Jahrzehnten bekannte Schwachstellenklassen, die gut dokumentiert und vermeidbar sind. Dennoch nehmen sie stark zu, weil die KI-gestützte Entwicklung sie in einem Umfang produziert, der mit manuellen Review-Prozessen nicht mehr bewältigt werden kann.
Mehr erfahren
2025
2024
XSS
SQL-Injection
Injection

Lust auf mehr?

Vergleichen Sie die Ergebnisse dieses Jahres mit früheren Reports und erfahren Sie, wie sich die Bedrohungslage verändert hat – von der Zunahme bösartiger Pakete im Jahr 2026 bis hin zu neuen KI-Sicherheitsrisiken, die Software-Lieferketten-Teams bewältigen müssen.
Lagebericht zur Software-Lieferkette 2024
Von der Innovation zur Infiltration: Schutz vor den versteckten Gefahren in Ihrem Software-Ökosystem
Download 2024’s Report
Software-Lieferkette: Zum Stand der Dinge 2025
Die sich ausweitende Bedrohungslandschaft gefährdet die Integrität von Software
Bericht 2025 herunterladen

Häufig gestellte Fragen

  • Was ist der JFrog-Bericht zur Sicherheit der Software-Lieferkette 2026?

    Dieser jährliche Forschungsbericht erscheint mittlerweile zum viertel Mal und untersucht Bedrohungen für die Software-Lieferkette, Open-Source-Schwachstellen, CVE-Trends und mehr. Er zeigt den aktuellen Stand der Sicherheit in der Softwarelieferkette, wo Governance versagt und welche Bereiche Angreifer voraussichtlich als Nächstes ins Visier nehmen werden.

  • Worin unterscheidet sich dieser Report von anderen Sicherheitsberichten?

    Der Bericht zur Software-Lieferketten-Sicherheit 2026 von JFrog basiert auf drei Säulen und stützt sich auf umfangreiches Expertenwissen. Er umfasst originäre Bedrohungsanalysen des JFrog-Security-Research-Teams, anonymisierte Daten aus erster Hand von Tausenden Unternehmen sowie eine in Auftrag gegebene Umfrage von mehr als 1.500 Experten aus acht Ländern.

  • Für wen ist dieser Report gedacht?

    Security Engineers, DevOps- und Plattformteams sowie Branchenführer, die wissen müssen, wo tatsächliche Risiken bestehen – und nicht nur, was in den CVE-Datenbanken auftaucht. Er richtet sich außerdem an alle, die Investitionen gegenüber dem Vorstand begründen müssen: Die Daten zeigen nicht nur, was zu beheben ist, sondern auch, warum es wichtig ist und was andere Unternehmen bereits tun.

  • Behandelt der Report auch KI-Sicherheitsrisiken in der Software-Lieferkette?

    Ja. Mit dem Einsatz von KI-Modelle, entstehen in Unternehmen neue Angriffsvektoren. Wir untersuchen die spezifischen Gefahren, die mit dem Betrieb von KI auf interner Infrastruktur verbunden sind, einschließlich neu entstehender Sicherheitsrisiken. Erfahren Sie im Bericht, wie Sie diese neuen Abhängigkeiten effektiv steuern und die KI-Sicherheitsrisiken bewältigen können, mit denen Software-Lieferketten-Teams heute konfrontiert sind.

  • Wie wirken sich bösartige Pakete im Jahr 2026 auf die Entwicklung aus?

    Angreifer finden neue Wege, um Registries zu infiltrieren. Das führt zu einer Zunahme raffinierter Angriffskampagnen. Unsere Untersuchung konzentriert sich auf den Anstieg dieser Bedrohungen und darauf, wie sie klassische Sicherheitsebenen umgehen – wobei npm als Beispiel für diese sich weiterentwickelnden Taktiken dient. Der vollständige Bericht beschreibt Umfang und Auswirkungen dieser Angriffe auf moderne Entwicklungszyklen.