NVIDIA 
Cursor 
GitHub 
Docker 
Maven 
Finanzdienstleistungen 
Öffentlicher Sektor 
Technologie 
Gesundheitswesen 
Gaming 
Automobilbranche 
Enterprise 
Digital-Services-Provider stärkt Applikationssicherheit mit JFrog Curation
| 4 Mrd + Umsatz |
6.000 Mitarbeiter |
20M+ Nutzer |
| Sofortige Blockierung schadhafter Packages | Prävention künftiger Supply-Chain-Angriffe | Wechsel von reaktiver zu proaktiver Sicherheit |
| Dank der JFrog Plattform und der schnellen Bereitstellung von JFrog Curation konnte dieser führende Digital-Services-Anbieter seine Software Supply Chain während der jüngsten npm-Angriffsserie erfolgreich schützen. |
DIE HERAUSFORDERUNG
Reaktion auf einen massiven npm-Angriff
Viele führende Digital-Services-Unternehmen nutzen Open-Source-Packages, um ihre Liefergeschwindigkeit zu erhöhen und die Qualität ihrer Produkte und Dienstleistungen zu sichern. Dafür nutzen sie große OSS-Repositories wie npm, PyPI, GitHub und andere. Leider zählten sie damit auuch eine der am stärksten betroffenen Organisationen des letzten großen NPM-Angriffs.
In diesem konkreten Fall wurden mehr als 80 verschiedene Package-Versionen als bösartig identifiziert. Obwohl das Team bereits auf tiefgreifende Schwachstellen und Lizenzverletzungen gescannt hatte, wurde schnell klar, dass bösartiger Code möglicherweise bereits unerkannt in ihre Entwicklungsumgebung eingedrungen war.
Als ersten Schritt musste das DevSecOps-Team alle potenziell kompromittierten Packages lokalisieren und aus den Systemen entfernen – ein reaktiver Prozess, der während eines Hochrisiko-Vorfalls wertvolle Zeit kostete und bei verzögerter Behandlung zu erheblichem Vertrauensverlust bei Kunden sowie finanziellem Schaden hätte führen können.
Als Folge dieses Vorfalls und entsprechend den neuesten Branchentrends haben die DevOps- und Sicherheitsteams dann die strategische Entscheidung getroffen, auf Shift Left zu setzen, um und bösartige Pakete zu stoppen, bevor sie überhaupt in ihre Entwicklungsumgebung gelangen konnten.
Was diesen Fall so interessant macht, ist, wie die schnelle Reaktion auf einen kritischen Vorfall tatsächlich zu einer dauerhaften strategischen Umgestaltung der Security führte.
DIE LÖSUNG
Schnelle Inbetriebnahme von JFrog Curation in der Produktion
Das Team war zwar bereits mit JFrog Curation vertraut , nun war aber der Zeitpunkt gekommen um sich eingehend mit den Funktionen der Lösung befassen und es so schnell als möglich zu implementieren. Da JFrog Xray bereits im Einsatz war, ließ sich Curations leistungsstarke Engine für automatisiertes Policy Enforcement und Governance recht einfach direkt am Anfang der Software-Lieferkette in den Produktionsworkflow zu integrieren.
Nach dem erfolgreichen Deployment von Curation war die nächste Priorität sofort klar. Wie es ein Teammitglied ausdrückte:
„So schnell wie möglich vom reinen Reagieren zu einer proaktiven App-Security wechseln.”
Mit der Anleitung und aktiven Unterstützung durch das JFrog-Team und JFrog Professional Services begannen sie, Curation-Policies zu implementieren, die darauf ausgelegt waren:
- Bekannte bösartige Packages aus öffentlichen Registries zu blockieren, bevor Entwickler sie in die Entwicklungsumgebung laden konnten
- Die Richtlinien so durchzusetzen, dass Packages ausschließlich aus vertrauenswürdigen Quellen heruntergeladen werden dürfen und das Risiko von Typosquatting oder gehijackter Dependencies zu eliminieren.
- Open-Source-Packages und Dependencies kontinuierlich zu prüfen, um künftige Supply-Chain-Angriffe zu verhindern
WSchon wenige Tage nach der Aktivierung stellten die Entwickler einen Unterschied fest:
Open Source Packages, die zuvor durchgelassen und in ihren Code integriert worden wären, wurden nun automatisch am Perimeter geprüft und blockiert.
DIE ERGEBNISSE
Proaktiver Schutz in einem kritischen Moment
Durch die Aktivierung von JFrog Curation war das DevSecOps-Team in der Lage:
- Bösartige npm-Packages sofort daran zu hindern, in die Umgebung einzudringen
- Mit der Implementierung von Shift-Left-Security zu beginnen, indem riskante Packages abgefangen wurden, bevor sie Entwickler oder Produktionssysteme erreichten
- Compliance und Policy Enforcement über alle Open-Source-Dependencies hinweg zu vereinfachen
- Das Vertrauen in die Nutzung von Open Source während eines der bisher schwerwiegendsten npm-Angriffe zurückzugewinnen
Was als Reaktion auf einen kritischen Vorfall begann, wurde zu einer nachhaltigen und äußerst wertvollen Sicherheitstransformation.
Durch die Integration von JFrog Curation neben Xray profitiert das Unternehmen nun von einer verbesserten Security Posture ihrer Software Supply Chain – die Schwachstellen nicht nur identifiziert, sondern verhindert, dass sie überhaupt in das Ökosystem gelangen.
JFrog hat diesem Kunden geholfen, von der reaktiven Bedrohungsabwehr zur proaktiven Prävention überzugehen. So werden Entwickler, Infrastruktur und Kunden gleichermaßen geschützt. Vereinbaren Sie eine Demo, machen Sie eine Online-Tour oder starten Sie eine kostenlose Testversion, um zu sehen, wie Sie Ihre Software-Lieferkette proaktiv absichern können.
