{"id":169433,"date":"2026-07-02T09:55:08","date_gmt":"2026-07-02T07:55:08","guid":{"rendered":"https:\/\/jfrog.com\/blog\/die-governance-luecke-zwischen-ihrer-policy-und-ihrer-pipeline\/"},"modified":"2026-07-02T10:32:30","modified_gmt":"2026-07-02T08:32:30","slug":"the-ai-governance-gap-2026-software-supply-chain-report","status":"publish","type":"post","link":"https:\/\/jfrog.com\/de\/blog\/the-ai-governance-gap-2026-software-supply-chain-report\/","title":{"rendered":"Die Governance-L\u00fccke zwischen Ihrer Policy und Ihrer Pipeline"},"content":{"rendered":"<p><img decoding=\"async\" class=\"aligncenter wp-image-167080 size-full\" src=\"https:\/\/media.jfrog.com\/wp-content\/uploads\/2026\/05\/20150232\/03-Blog-inner-main-img-863X300.png\" alt=\"\" width=\"863\" height=\"300\" srcset=\"https:\/\/speedmedia2.jfrog.com\/08612fe1-9391-4cf3-ac1a-6dd49c36b276\/media.jfrog.com\/wp-content\/uploads\/2026\/05\/20150232\/03-Blog-inner-main-img-863X300.png?speedsize=w_863 863w, https:\/\/speedmedia2.jfrog.com\/08612fe1-9391-4cf3-ac1a-6dd49c36b276\/media.jfrog.com\/wp-content\/uploads\/2026\/05\/20150232\/03-Blog-inner-main-img-863X300.png?speedsize=w_300 300w, https:\/\/speedmedia2.jfrog.com\/08612fe1-9391-4cf3-ac1a-6dd49c36b276\/media.jfrog.com\/wp-content\/uploads\/2026\/05\/20150232\/03-Blog-inner-main-img-863X300.png?speedsize=w_768 768w\" sizes=\"(max-width: 863px) 100vw, 863px\" \/><\/p>\n<p>Sicherheitsteams stehen unter mehr Druck denn je \u2013 und die meisten glauben, die Lage im Griff zu haben. Genau dieses Vertrauen k\u00f6nnte sich als die folgenreichste Erkenntnis des <a href=\"https:\/\/jfrog.com\/de\/software-supply-chain-state-of-union\/\">JFrog-Berichts zur Sicherheit der Software-Lieferkette: Zum Stand der Dinge 2026<\/a> erweisen.<\/p>\n<p>Die Analyse von 18,2 Milliarden Artefakten, unabh\u00e4ngige Schwachstellenforschung des JFrog-Security-Research-Teams und die Befragung von 1.508 Fachleuten in acht L\u00e4ndern zeigt immer wieder dasselbe Muster: <strong>Unternehmen bewerten ihre Security Posture durchweg besser, als es ihre tats\u00e4chliche Schutzma\u00dfnahmen rechtfertigen k\u00f6nnen. Wir nennen das die Illusion der Kontrolle.<\/strong> Wer diese Illusion durchschaut, hat den ersten Schritt getan, um die L\u00fccke zu schlie\u00dfen.<\/p>\n\n    <a class=\"button button-primary\"  href=\"\" target=\"_self\">\n    <span>Bericht herunterladen<\/span>\n    <\/a>\n    \n<h2>Was ist die KI-Governance-L\u00fccke?<\/h2>\n<p>Die L\u00fccke in der KI-Governance entsteht nicht durch Nachl\u00e4ssigkeit. Und auch nicht durch Unwissenheit. Es ist subtiler: Die L\u00fccke entsteht, wenn das Vertrauen in die Governance gr\u00f6\u00dfer ist als deren tats\u00e4chliche Durchsetzung \u00fcberholt, wenn Sicherheitsinvestitionen in den falschen Bereichen akkumulieren und wenn die Menschen, die die Tools betreiben, und diejenigen, die sie kaufen, dasselbe Unternehmen grundlegend unterschiedlich wahrnehmen.<\/p>\n<p>Ein Beispiel aus den diesj\u00e4hrigen Daten: <strong>97\u00a0% der Unternehmen geben an, \u00fcber zertifizierte Governance f\u00fcr KI-Modelle zu verf\u00fcgen. Das JFrog-Security-Research-Team fand allein auf Hugging Face 495 sch\u00e4dliche Modelle \u00a0\u2013 derselben Registry, die von fast jedem f\u00fcnften Unternehmen aktiv genutzt wird.<\/strong> Eine zertifizierte Liste, die nicht auf b\u00f6sartige Payloads gepr\u00fcft wird, ist keine Sicherheitsma\u00dfnahme, sondern lediglich eine Liste von Namen. Das Vertrauen ist real. Die Bedrohung auch. Das Risiko liegt in der L\u00fccke dazwischen.<\/p>\n<p>Dieses Muster zieht sich durch den gesamten Report: bei der Erstellung von Compliance-Nachweisen, bei der Einf\u00fchrung von Secrets Detection und bei der Governance von IDE-Erweiterungen und MCP-Server, die ihre Entwickler t\u00e4glich nutzen. Der Bericht zur Sicherheit der Software-Lieferkette 2026 von JFrog zeigt genau, wo L\u00fccken bestehen, und \u2013 noch wichtiger \u2013 warum sie weiterbestehen.<\/p>\n<h2>Warum die L\u00fccke gr\u00f6\u00dfer ist, als Sie denken<\/h2>\n<p>Die L\u00fccke zwischen dem angegebenen Vertrauen und dem Anteil tats\u00e4chlich erkannter Bedrohungen ist nicht gleichm\u00e4\u00dfig verteilt. Sie konzentriert sich auf drei konkrete Bereiche, die der Bericht 2026 eingehend untersucht.<\/p>\n<p><strong>Die Tools haben mit dem Stack nicht Schritt gehalten.<\/strong> Zum ersten Mal in der Geschichte unseres Reports hat npm Maven beim Request-Volumen als meistgenutztes Paket-\u00d6kosystem \u00fcberholt. PyPI hat YUM \u00fcberholt. Gleichzeitig hat Hugging Face im Jahr 2025 1,4 Millionen neue Pakete ver\u00f6ffentlicht. Damit ist es die zweitgr\u00f6\u00dfte Quelle neuer Pakete aller von JFrog erfassten Registries \u2013 nur Docker Hub \u00fcbertrifft es mit 2,2 Millionen. Die Sicherheitstools, die die meisten Unternehmen einsetzen, wurden f\u00fcr eine Java-zentrierte Paket-Registry-Welt entwickelt. Die Lieferkette hat sich weiterentwickelt. Viele Abwehrma\u00dfnahmen nicht.<\/p>\n<p><strong>Volumen ist die falsche Metrik f\u00fcr Risiko.<\/strong> Das Sicherheitsforschungsteam von JFrog hat jede High-Profile-CVE, die es 2025 analysiert hat, anhand der realen Ausnutzbarkeit neu bewertet \u2013 und nicht anhand des theoretischen Schweregrads. Das Ergebnis: <strong>96\u00a0% der von der NVD als kritisch eingestuften CVEs wurden von JFrog herabgestuft<\/strong>, gegen\u00fcber 88\u00a0% im Jahr 2024. Auf der anderen Seite wurden im vergangenen Jahr 171.592 b\u00f6sartige npm-Pakete erkannt, ein Anstieg von 451\u00a0% gegen\u00fcber 2024. Dennoch liegt die Erkennung sch\u00e4dlicher Pakete weiterhin nur bei 40\u00a0% der Unternehmen, was dem Vorjahreswert entspricht. Das Bedrohungsvolumen erreichte einen H\u00f6chststand. Der Anteil entdeckter Bedrohungen blieb unver\u00e4ndert. Genau so zeigt sich die Illusion von Kontrolle in der Praxis.<\/p>\n<p><strong>Die Angriffsfl\u00e4che hat sich dorthin verlagert, wo Entwickler arbeiten.<\/strong> 45\u00a0% der DevSecOps-Teams geben an, dass die \u00dcberpr\u00fcfung und H\u00e4rtung von KI-generiertem Code mittlerweile zu ihren zeitaufw\u00e4ndigsten Aufgaben geh\u00f6rt \u00a0\u2013 eine Kategorie, die in der Umfrage des Vorjahres noch gar nicht existierte. CI\/CD-Pipelines sind zu aktiven Zielen von Angriffen auf Lieferketten geworden. IDE-Erweiterungen wurden als Angriffsvektor missbraucht. MCP-Server weisen aktive RCE-Schwachstellen auf. JFrog fand 56 b\u00f6sartige IDE-Erweiterungen auf OpenVSX und identifizierte eine RCE-Schwachstelle mit CVSS 9,6 in mcp-remote. Dennoch verwalten nur 57\u00a0% der Unternehmen die MCP-Nutzung \u00fcber automatisierte Kontrollen. Der Rest verl\u00e4sst sich auf manuelle Listen, die bei der Offenlegung neuer Schwachstellen nicht aktualisiert werden. 18\u00a0% der Unternehmen haben keine aktive Governance \u00fcber die Tools in den Entwicklungsumgebungen ihrer Developer. Der &#8220;Infektionspunkt&#8221; hat sich weiter nach vorne verlagert\u00a0\u2013 noch bevor \u00fcberhaupt Code geschrieben wird.<\/p>\n<h2>Drei Metriken, die das Problem auf den Punkt bringen<\/h2>\n<p>Der Report 2026 basiert auf drei Datens\u00e4ulen: Nutzungsdaten der JFrog Plattform aus Tausenden von Unternehmensumgebungen, unabh\u00e4ngiger Sicherheitsforschung und den Ergebnissen einer Befragung von 1.508 IT-Experten. Erst diese Kombination macht die Illusion von Kontrolle sichtbar: Man braucht sowohl die Pipeline-Daten als auch die Einsch\u00e4tzungen von Menschen, um die L\u00fccke zwischen ihnen zu erkennen.<\/p>\n<p>Einige Kennzahlen verdeutlichen das Problem pr\u00e4zise:<\/p>\n<ul>\n<li aria-level=\"1\"><strong>59\u00a0% der Unternehmen geben an, vollst\u00e4ndige Visibility \u00fcber die Provenance in der Produktion zu haben.<\/strong> Dennoch ben\u00f6tigen 48\u00a0% nach wie vor eine Woche oder l\u00e4nger, um f\u00fcr eine einzige Anwendung einen Compliance-Nachweis zu erbringen. 10\u00a0% brauchen einen Monat oder l\u00e4nger. Volle Visibility sollte eine schnelle Erstellung solcher Nachweise erm\u00f6glichen. Dass dies nicht der Fall ist, deutet darauf hin, dass \u201evolle Visibility\u201c oft nur bedeutet, dass die Daten zwar irgendwo existieren, aber nicht in einer Form vorliegen, die einen bedarfsgerechten Zugriff erm\u00f6glicht.<\/li>\n<li aria-level=\"1\"><strong>28\u00a0% der Unternehmen haben eine Secrets Detection im Einsatz<\/strong>\u00a0\u2013 die niedrigste Adoptionsrate aller in der Umfrage erfassten Sicherheitskategorien. JFrog fand 2025 17.637 exponierte Token in \u00f6ffentlichen Bin\u00e4r-Repositories. Davon waren zum Zeitpunkt der Identifizierung noch 3.260 aktiv. Die h\u00f6chste Quote aktiver Token? Hugging-Face-Token mit 87\u00a0%.<\/li>\n<li aria-level=\"1\"><strong>23\u00a0% der Entwickler geben an, einen von KI vorgeschlagenen Sicherheitsfix ohne gro\u00dfes Z\u00f6gern zu \u00fcbernehmen<\/strong> und vor der Implementierung nur noch kurz zu \u00fcberpr\u00fcfen. Das ist nicht zwangsl\u00e4ufig falsch. Entscheidend ist, ob das KI-Tool, dem sie vertrauen, innerhalb einer kontrollierten Pipeline oder au\u00dferhalb davon betrieben wird.<\/li>\n<\/ul>\n<p>Keine dieser Zahlen besagt, dass Unternehmen sich nicht bem\u00fchen. Sie zeigen vielmehr, dass echte Anstrengungen unternommen werden, aber die Schutzma\u00dfnahmen nicht ausreichen. Das Ziel <a href=\"https:\/\/jfrog.com\/de\/software-supply-chain-state-of-union\/\">dieses Berichts<\/a> ist es, genau aufzuzeigen, wo diese L\u00fccken bestehen.<\/p>\n<h2>Was bedeutet das f\u00fcr Ihr Team?<\/h2>\n<p>Die diesj\u00e4hrige Umfrage zeigt, dass der Anteil der Unternehmen, die sieben oder mehr Sicherheits-Tools einsetzen, von 73\u00a0% auf 35\u00a0% gesunken ist\u00a0\u2013 ein Konsolidierungstrend, von dem man erwarten k\u00f6nnte, dass er die Alarmm\u00fcdigkeit (Alert Fatigue) verringert und die L\u00fccken schlie\u00dft, die durch den Einsatz fragmentierter Insell\u00f6sungen entstehen. Doch die L\u00fccken, auf die es am meisten ankommt, bestehen weiterhin. Die Erkennung b\u00f6sartiger Pakete stagniert. Die Secrets-Erkennung liegt bei ihrer ersten Erfassung in der Umfrage auf dem niedrigsten Niveau. Weniger Tools bedeuteten nicht automatisch mehr entdeckte Bedrohungen.<\/p>\n<p>Was Untrnehmen, die sich sicher f\u00fchlen, von denen unterscheidet, die es tats\u00e4chlich sind, l\u00e4sst sich auf eine zentrale Frage reduzieren:<strong> Wird Ihre Governance kontinuierlich in der Pipeline umgesetzt \u2013 genau dort, wo Artefakte aufgenommen und weitergegeben werden, oder existiert sie nur in einem Strategiepapier?<\/strong><\/p>\n<p>Der Report 2026 macht die Antwort auf diese Frage auf vier Ebenen greifbar:<\/p>\n<ol>\n<li aria-level=\"1\">Governance von KI-Modellartefakten<\/li>\n<li aria-level=\"1\">Governance von Entwickler-Tools und MCP-Servern<\/li>\n<li aria-level=\"1\">Secrets Detection auf Bin\u00e4rebene<\/li>\n<li aria-level=\"1\">On-Demand-Erstellung von Compliance-Nachweisen<\/li>\n<\/ol>\n<p>Auf jeder Ebene ist die L\u00fccke zwischen dem, was Unternehmen angeben, und dem, was die Daten zeigen, konkret, messbar und handlungsrelevant.<\/p>\n<p>Das sind keine hypothetischen Risiken. Der GlassWorm-Angriff im Oktober 2025 kompromittierte sieben VS-Code-Erweiterungen, griff Zugangsdaten ab und verbreitete einen Remote-Access-Trojaner \u00fcber rund 35.800 Installationen. Die S1ngularity-Kampagne leakte \u00fcber acht Pakete und einen einzigen falsch konfigurierten CI\/CD-Workflow 83.000 Secrets. Die gr\u00f6\u00dften Lieferketten-Vorf\u00e4lle des Jahres 2025 waren nicht die umfangreichsten, sondern die zielgerichtetsten.<\/p>\n<h2>Wie JFrog sieht, was anderen verborgen bleibt<\/h2>\n<p>Die JFrog Plattform verarbeitet Daten aus \u00fcber 60 Pakettypen, darunter KI-Modellartefakte, IDE-Erweiterungen und MCP-Server\u00a0\u2013 die drei neuen Angriffsfl\u00e4chen, die im diesj\u00e4hrigen Bericht erstmals erfasst werden. Als Sysem of Record f\u00fcr mehr als 80\u00a0% der Fortune-100-Unternehmen verwaltete die JFrog Plattform Ende 2025 insgesamt 18,2 Milliarden Artefakte von JFrog-SaaS-Kunden.<\/p>\n<p>Diese Gr\u00f6\u00dfenordnung macht die Illusion von Kontrolle sichtbar. Umfragedaten allein zeigen nur, wie Unternehmen ihren Sicherheitsstatus einsch\u00e4tzen. Plattformdaten zeigen, was tats\u00e4chlich in ihren Pipelines passiert. Die L\u00fccke dazwischen ist Gegenstand dieses Berichts.<\/p>\n<p>Um diese L\u00fccken zu schlie\u00dfen, braucht es Kontrollen auf Pipeline- und nicht nur auf Richtlinienebene:<\/p>\n<ul>\n<li aria-level=\"1\"><strong>JFrog Curation<\/strong> blockiert b\u00f6sartige Pakete, Modelle und IDE-Erweiterungen noch bevor sie in die Pipeline gelangen und den Rechner eines Entwicklers erreichen.<\/li>\n<li aria-level=\"1\"><strong>JFrog Xray<\/strong> bewertet CVEs anhand der realen Ausnutzbarkeit in Ihrer spezifischen Umgebung neu \u2013 nicht anhand des theoretischen NVD-Scores.<\/li>\n<li aria-level=\"1\"><strong>JFrog Advanced Security<\/strong> scannt auf Bin\u00e4rebene nach Secrets und erfasst so exponierte Token, die reine Quellcode-Scanner \u00fcbersehen.<\/li>\n<li aria-level=\"1\"><strong>JFrog AppTrust<\/strong> macht Compliance-Nachweise auf Abruf verf\u00fcgbar und schlie\u00dft damit die L\u00fccke zwischen dem Anspruch auf vollst\u00e4ndige Provenance-Visibility und dem tats\u00e4chlichen Nachweis dar\u00fcber.<\/li>\n<\/ul>\n<h2>Bereit f\u00fcr das Gesamtbild Ihrer Software-Lieferkette?<\/h2>\n<p>Der JFrog-Report zur Sicherheit der Software-Lieferkette 2026 behandelt all das und mehr. Die Lieferkette w\u00e4chst nicht nur. Sie ver\u00e4ndert sich grundlegend: n\u00e4mlich dahingehend, welche \u00d6kosysteme das gr\u00f6\u00dfte Risiko bergen, wie Angreifer immer fr\u00fcher im Entwicklungsprozess zuschlagen und wo die Diskrepanz zwischen angenommener und tats\u00e4chlicher Sicherheit als N\u00e4chstes ausgenutzt werden d\u00fcrfte.<\/p>\n<p>Unternehmen, die diese L\u00fccke schlie\u00dfen, machen Governance zu einem festen Bestandteil der Pipeline \u2013 und nicht zu einer reinen Dokumentations\u00fcbung. Die Daten, die Ihnen zeigen, wo Ihr Unternehmen steht, finden Sie im Bericht. <strong><a href=\"https:\/\/jfrog.com\/de\/software-supply-chain-state-of-union\/\">Laden Sie den Report herunter<\/a><\/strong> und erhalten Sie den vollst\u00e4ndigen \u00dcberblick.<\/p>\n<p>Sie m\u00f6chte loslegen? Dann <a href=\"https:\/\/jfrog.com\/de\/request-a-demo\/\">vereinbaren Sie eine Demo<\/a>, <a href=\"https:\/\/jfrog.com\/de\/tour\/\">machen Sie eine Online-Tour<\/a> oder <a href=\"https:\/\/jfrog.com\/de\/start-free\/\">starten Sie eine kostenlose Testversion<\/a> der JFrog Software-Lieferkettenplattform.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Sicherheitsteams stehen unter mehr Druck denn je \u2013 und die meisten glauben, die Lage im Griff zu haben. Genau dieses Vertrauen k\u00f6nnte sich als die folgenreichste Erkenntnis des JFrog-Berichts zur Sicherheit der Software-Lieferkette: Zum Stand der Dinge 2026 erweisen. Die Analyse von 18,2 Milliarden Artefakten, unabh\u00e4ngige Schwachstellenforschung des JFrog-Security-Research-Teams und die Befragung von 1.508 Fachleuten &hellip;<\/p>\n","protected":false},"author":506,"featured_media":0,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"inline_featured_image":false,"footnotes":""},"categories":[10627,10515,10517,10157],"tags":[11285,11190,11054,11055,11012,10848,10842,10721],"class_list":["post-169433","post","type-post","status-publish","format-standard","hentry","category-ki-ml","category-community-de","category-devops-de","category-sicherheit-und-devsecops","tag-sicherheit-der-software-lieferkette-zum-stand-der-dinge","tag-software-supply-chain-de","tag-risk-de","tag-governance-de","tag-ai-ml-de","tag-vulnerabilities-de","tag-compliance-de","tag-security-de","resource_categories-grc","resource_categories-ai-ml","resource_categories-security","resource_categories-devops"],"yoast_head":"<!-- This site is optimized with the Yoast SEO Premium plugin v22.6 (Yoast SEO v22.6) - https:\/\/yoast.com\/wordpress\/plugins\/seo\/ -->\n<title>Die Governance-L\u00fccke zwischen Ihrer Policy und Ihrer Pipeline | JFrog<\/title>\n<meta name=\"description\" content=\"Erfahren Sie, was die KI-Governance-L\u00fccke ist und wie Sie sie schlie\u00dfen k\u00f6nnen. Dieser Blogbeitrag fasst die wichtigsten Erkenntnisse aus dem JFrog-Bericht zur Sicherheit der Software-Lieferkette 2026 zusammen.\" \/>\n<meta name=\"robots\" content=\"index, follow, max-snippet:-1, max-image-preview:large, max-video-preview:-1\" \/>\n<link rel=\"canonical\" href=\"https:\/\/jfrog.com\/de\/wp-json\/wp\/v2\/posts\/169433\" \/>\n<meta property=\"og:locale\" content=\"de_DE\" \/>\n<meta property=\"og:type\" content=\"article\" \/>\n<meta property=\"og:title\" content=\"Die Governance-L\u00fccke zwischen Ihrer Policy und Ihrer Pipeline\" \/>\n<meta property=\"og:description\" content=\"Erfahren Sie, was die KI-Governance-L\u00fccke ist und wie Sie sie schlie\u00dfen k\u00f6nnen. Dieser Blogbeitrag fasst die wichtigsten Erkenntnisse aus dem JFrog-Bericht zur Sicherheit der Software-Lieferkette 2026 zusammen.\" \/>\n<meta property=\"og:url\" content=\"https:\/\/jfrog.com\/de\/blog\/the-ai-governance-gap-2026-software-supply-chain-report\/\" \/>\n<meta property=\"og:site_name\" content=\"JFrog\" \/>\n<meta property=\"article:publisher\" content=\"https:\/\/www.facebook.com\/artifrog\" \/>\n<meta property=\"article:published_time\" content=\"2026-07-02T07:55:08+00:00\" \/>\n<meta property=\"article:modified_time\" content=\"2026-07-02T08:32:30+00:00\" \/>\n<meta property=\"og:image\" content=\"https:\/\/jfrog.com\/wp-content\/uploads\/2026\/05\/03-Blog-inner-main-img-863X300.png\" \/>\n<meta name=\"author\" content=\"zoer\" \/>\n<meta name=\"twitter:card\" content=\"summary_large_image\" \/>\n<meta name=\"twitter:creator\" content=\"@jfrog\" \/>\n<meta name=\"twitter:site\" content=\"@jfrog\" \/>\n<meta name=\"twitter:label1\" content=\"Written by\" \/>\n\t<meta name=\"twitter:data1\" content=\"zoer\" \/>\n\t<meta name=\"twitter:label2\" content=\"Est. reading time\" \/>\n\t<meta name=\"twitter:data2\" content=\"7 minutes\" \/>\n<script type=\"application\/ld+json\" class=\"yoast-schema-graph\">{\"@context\":\"https:\/\/schema.org\",\"@graph\":[{\"@type\":\"Article\",\"@id\":\"https:\/\/jfrog.com\/de\/blog\/the-ai-governance-gap-2026-software-supply-chain-report\/#article\",\"isPartOf\":{\"@id\":\"https:\/\/jfrog.com\/de\/blog\/the-ai-governance-gap-2026-software-supply-chain-report\/\"},\"author\":{\"name\":\"zoer\",\"@id\":\"https:\/\/jfrog.com\/de\/#\/schema\/person\/506b8c11f17cb8a81546c486fa9f663e\"},\"headline\":\"Die Governance-L\u00fccke zwischen Ihrer Policy und Ihrer Pipeline\",\"datePublished\":\"2026-07-02T07:55:08+00:00\",\"dateModified\":\"2026-07-02T08:32:30+00:00\",\"mainEntityOfPage\":{\"@id\":\"https:\/\/jfrog.com\/de\/blog\/the-ai-governance-gap-2026-software-supply-chain-report\/\"},\"wordCount\":1543,\"publisher\":{\"@id\":\"https:\/\/jfrog.com\/de\/#organization\"},\"image\":{\"@id\":\"https:\/\/jfrog.com\/de\/blog\/the-ai-governance-gap-2026-software-supply-chain-report\/#primaryimage\"},\"thumbnailUrl\":\"https:\/\/jfrog.com\/wp-content\/uploads\/2026\/05\/03-Blog-inner-main-img-863X300.png\",\"keywords\":[\"Sicherheit der Software-Lieferkette: Zum Stand der Dinge\",\"software supply chain\",\"risk\",\"governance\",\"AI\/ML\",\"vulnerabilities\",\"compliance\",\"security\"],\"articleSection\":[\"KI\/ML\",\"Community\",\"DevOps\",\"Sicherheit und DevSecOps\"],\"inLanguage\":\"de-DE\"},{\"@type\":\"WebPage\",\"@id\":\"https:\/\/jfrog.com\/de\/blog\/the-ai-governance-gap-2026-software-supply-chain-report\/\",\"url\":\"https:\/\/jfrog.com\/de\/blog\/the-ai-governance-gap-2026-software-supply-chain-report\/\",\"name\":\"Die Governance-L\u00fccke zwischen Ihrer Policy und Ihrer Pipeline | JFrog\",\"isPartOf\":{\"@id\":\"https:\/\/jfrog.com\/de\/#website\"},\"primaryImageOfPage\":{\"@id\":\"https:\/\/jfrog.com\/de\/blog\/the-ai-governance-gap-2026-software-supply-chain-report\/#primaryimage\"},\"image\":{\"@id\":\"https:\/\/jfrog.com\/de\/blog\/the-ai-governance-gap-2026-software-supply-chain-report\/#primaryimage\"},\"thumbnailUrl\":\"https:\/\/jfrog.com\/wp-content\/uploads\/2026\/05\/03-Blog-inner-main-img-863X300.png\",\"datePublished\":\"2026-07-02T07:55:08+00:00\",\"dateModified\":\"2026-07-02T08:32:30+00:00\",\"description\":\"Erfahren Sie, was die KI-Governance-L\u00fccke ist und wie Sie sie schlie\u00dfen k\u00f6nnen. Dieser Blogbeitrag fasst die wichtigsten Erkenntnisse aus dem JFrog-Bericht zur Sicherheit der Software-Lieferkette 2026 zusammen.\",\"breadcrumb\":{\"@id\":\"https:\/\/jfrog.com\/de\/blog\/the-ai-governance-gap-2026-software-supply-chain-report\/#breadcrumb\"},\"inLanguage\":\"de-DE\",\"potentialAction\":[{\"@type\":\"ReadAction\",\"target\":[\"https:\/\/jfrog.com\/de\/blog\/the-ai-governance-gap-2026-software-supply-chain-report\/\"]}]},{\"@type\":\"ImageObject\",\"inLanguage\":\"de-DE\",\"@id\":\"https:\/\/jfrog.com\/de\/blog\/the-ai-governance-gap-2026-software-supply-chain-report\/#primaryimage\",\"url\":\"https:\/\/jfrog.com\/wp-content\/uploads\/2026\/05\/03-Blog-inner-main-img-863X300.png\",\"contentUrl\":\"https:\/\/jfrog.com\/wp-content\/uploads\/2026\/05\/03-Blog-inner-main-img-863X300.png\"},{\"@type\":\"BreadcrumbList\",\"@id\":\"https:\/\/jfrog.com\/de\/blog\/the-ai-governance-gap-2026-software-supply-chain-report\/#breadcrumb\",\"itemListElement\":[{\"@type\":\"ListItem\",\"position\":1,\"name\":\"Home\",\"item\":\"https:\/\/jfrog.com\/de\/\"},{\"@type\":\"ListItem\",\"position\":2,\"name\":\"Die Governance-L\u00fccke zwischen Ihrer Policy und Ihrer Pipeline\"}]},{\"@type\":\"WebSite\",\"@id\":\"https:\/\/jfrog.com\/de\/#website\",\"url\":\"https:\/\/jfrog.com\/de\/\",\"name\":\"JFrog\",\"description\":\"Deliver Trusted Software Releases at Speed and Scale\",\"publisher\":{\"@id\":\"https:\/\/jfrog.com\/de\/#organization\"},\"potentialAction\":[{\"@type\":\"SearchAction\",\"target\":{\"@type\":\"EntryPoint\",\"urlTemplate\":\"https:\/\/jfrog.com\/de\/?s={search_term_string}\"},\"query-input\":\"required name=search_term_string\"}],\"inLanguage\":\"de-DE\"},{\"@type\":\"Organization\",\"@id\":\"https:\/\/jfrog.com\/de\/#organization\",\"name\":\"JFrog\",\"url\":\"https:\/\/jfrog.com\/de\/\",\"logo\":{\"@type\":\"ImageObject\",\"inLanguage\":\"de-DE\",\"@id\":\"https:\/\/jfrog.com\/de\/#\/schema\/logo\/image\/\",\"url\":\"https:\/\/speedmedia2.jfrog.com\/08612fe1-9391-4cf3-ac1a-6dd49c36b276\/media.jfrog.com\/wp-content\/uploads\/2025\/05\/27095207\/Logo.svg\",\"contentUrl\":\"https:\/\/speedmedia2.jfrog.com\/08612fe1-9391-4cf3-ac1a-6dd49c36b276\/media.jfrog.com\/wp-content\/uploads\/2025\/05\/27095207\/Logo.svg\",\"width\":74,\"height\":73,\"caption\":\"JFrog\"},\"image\":{\"@id\":\"https:\/\/jfrog.com\/de\/#\/schema\/logo\/image\/\"},\"sameAs\":[\"https:\/\/www.facebook.com\/artifrog\",\"https:\/\/x.com\/jfrog\",\"https:\/\/www.linkedin.com\/company\/455737\",\"https:\/\/www.youtube.com\/channel\/UCh2hNg76zo3d1qQqTWIQxDg\",\"https:\/\/www.wikidata.org\/wiki\/Q98608948\"],\"description\":\"We set out on our Liquid Software journey in 2008, with the mission to transform the way enterprises manage and release software updates. The world expects software to update continuously, securely, non-intrusively and without user intervention. This hyper-connected experience can only be enabled by automation with an end-to-end DevOps platform and a binary-centric focus. With this in mind, we\u2019ve developed the JFrog Platform, ushering in a new era of DevOps and DevSecOps standards that power continuous updates. More than a decade after our founding, with thousands of customers and millions of users globally, JFrog has become the \u201cDatabase of DevOps\u201d and the de-facto standard in release and update management.\",\"legalName\":\"Jfrog, Inc.\",\"numberOfEmployees\":{\"@type\":\"QuantitativeValue\",\"minValue\":\"1001\",\"maxValue\":\"5000\"}},{\"@type\":\"Person\",\"@id\":\"https:\/\/jfrog.com\/de\/#\/schema\/person\/506b8c11f17cb8a81546c486fa9f663e\",\"name\":\"zoer\",\"image\":{\"@type\":\"ImageObject\",\"inLanguage\":\"de-DE\",\"@id\":\"https:\/\/jfrog.com\/de\/#\/schema\/person\/image\/\",\"url\":\"https:\/\/secure.gravatar.com\/avatar\/98fe27df64b29d39c0d9f3e1f93264891c82c56b04f5811e5b310089561acf52?s=96&d=mm&r=g\",\"contentUrl\":\"https:\/\/secure.gravatar.com\/avatar\/98fe27df64b29d39c0d9f3e1f93264891c82c56b04f5811e5b310089561acf52?s=96&d=mm&r=g\",\"caption\":\"zoer\"}}]}<\/script>\n<!-- \/ Yoast SEO Premium plugin. -->","yoast_head_json":{"title":"Die Governance-L\u00fccke zwischen Ihrer Policy und Ihrer Pipeline | JFrog","description":"Erfahren Sie, was die KI-Governance-L\u00fccke ist und wie Sie sie schlie\u00dfen k\u00f6nnen. Dieser Blogbeitrag fasst die wichtigsten Erkenntnisse aus dem JFrog-Bericht zur Sicherheit der Software-Lieferkette 2026 zusammen.","robots":{"index":"index","follow":"follow","max-snippet":"max-snippet:-1","max-image-preview":"max-image-preview:large","max-video-preview":"max-video-preview:-1"},"canonical":"https:\/\/jfrog.com\/de\/wp-json\/wp\/v2\/posts\/169433","og_locale":"de_DE","og_type":"article","og_title":"Die Governance-L\u00fccke zwischen Ihrer Policy und Ihrer Pipeline","og_description":"Erfahren Sie, was die KI-Governance-L\u00fccke ist und wie Sie sie schlie\u00dfen k\u00f6nnen. Dieser Blogbeitrag fasst die wichtigsten Erkenntnisse aus dem JFrog-Bericht zur Sicherheit der Software-Lieferkette 2026 zusammen.","og_url":"https:\/\/jfrog.com\/de\/blog\/the-ai-governance-gap-2026-software-supply-chain-report\/","og_site_name":"JFrog","article_publisher":"https:\/\/www.facebook.com\/artifrog","article_published_time":"2026-07-02T07:55:08+00:00","article_modified_time":"2026-07-02T08:32:30+00:00","og_image":[{"url":"https:\/\/jfrog.com\/wp-content\/uploads\/2026\/05\/03-Blog-inner-main-img-863X300.png"}],"author":"zoer","twitter_card":"summary_large_image","twitter_creator":"@jfrog","twitter_site":"@jfrog","twitter_misc":{"Written by":"zoer","Est. reading time":"7 minutes"},"schema":{"@context":"https:\/\/schema.org","@graph":[{"@type":"Article","@id":"https:\/\/jfrog.com\/de\/blog\/the-ai-governance-gap-2026-software-supply-chain-report\/#article","isPartOf":{"@id":"https:\/\/jfrog.com\/de\/blog\/the-ai-governance-gap-2026-software-supply-chain-report\/"},"author":{"name":"zoer","@id":"https:\/\/jfrog.com\/de\/#\/schema\/person\/506b8c11f17cb8a81546c486fa9f663e"},"headline":"Die Governance-L\u00fccke zwischen Ihrer Policy und Ihrer Pipeline","datePublished":"2026-07-02T07:55:08+00:00","dateModified":"2026-07-02T08:32:30+00:00","mainEntityOfPage":{"@id":"https:\/\/jfrog.com\/de\/blog\/the-ai-governance-gap-2026-software-supply-chain-report\/"},"wordCount":1543,"publisher":{"@id":"https:\/\/jfrog.com\/de\/#organization"},"image":{"@id":"https:\/\/jfrog.com\/de\/blog\/the-ai-governance-gap-2026-software-supply-chain-report\/#primaryimage"},"thumbnailUrl":"https:\/\/jfrog.com\/wp-content\/uploads\/2026\/05\/03-Blog-inner-main-img-863X300.png","keywords":["Sicherheit der Software-Lieferkette: Zum Stand der Dinge","software supply chain","risk","governance","AI\/ML","vulnerabilities","compliance","security"],"articleSection":["KI\/ML","Community","DevOps","Sicherheit und DevSecOps"],"inLanguage":"de-DE"},{"@type":"WebPage","@id":"https:\/\/jfrog.com\/de\/blog\/the-ai-governance-gap-2026-software-supply-chain-report\/","url":"https:\/\/jfrog.com\/de\/blog\/the-ai-governance-gap-2026-software-supply-chain-report\/","name":"Die Governance-L\u00fccke zwischen Ihrer Policy und Ihrer Pipeline | JFrog","isPartOf":{"@id":"https:\/\/jfrog.com\/de\/#website"},"primaryImageOfPage":{"@id":"https:\/\/jfrog.com\/de\/blog\/the-ai-governance-gap-2026-software-supply-chain-report\/#primaryimage"},"image":{"@id":"https:\/\/jfrog.com\/de\/blog\/the-ai-governance-gap-2026-software-supply-chain-report\/#primaryimage"},"thumbnailUrl":"https:\/\/jfrog.com\/wp-content\/uploads\/2026\/05\/03-Blog-inner-main-img-863X300.png","datePublished":"2026-07-02T07:55:08+00:00","dateModified":"2026-07-02T08:32:30+00:00","description":"Erfahren Sie, was die KI-Governance-L\u00fccke ist und wie Sie sie schlie\u00dfen k\u00f6nnen. Dieser Blogbeitrag fasst die wichtigsten Erkenntnisse aus dem JFrog-Bericht zur Sicherheit der Software-Lieferkette 2026 zusammen.","breadcrumb":{"@id":"https:\/\/jfrog.com\/de\/blog\/the-ai-governance-gap-2026-software-supply-chain-report\/#breadcrumb"},"inLanguage":"de-DE","potentialAction":[{"@type":"ReadAction","target":["https:\/\/jfrog.com\/de\/blog\/the-ai-governance-gap-2026-software-supply-chain-report\/"]}]},{"@type":"ImageObject","inLanguage":"de-DE","@id":"https:\/\/jfrog.com\/de\/blog\/the-ai-governance-gap-2026-software-supply-chain-report\/#primaryimage","url":"https:\/\/jfrog.com\/wp-content\/uploads\/2026\/05\/03-Blog-inner-main-img-863X300.png","contentUrl":"https:\/\/jfrog.com\/wp-content\/uploads\/2026\/05\/03-Blog-inner-main-img-863X300.png"},{"@type":"BreadcrumbList","@id":"https:\/\/jfrog.com\/de\/blog\/the-ai-governance-gap-2026-software-supply-chain-report\/#breadcrumb","itemListElement":[{"@type":"ListItem","position":1,"name":"Home","item":"https:\/\/jfrog.com\/de\/"},{"@type":"ListItem","position":2,"name":"Die Governance-L\u00fccke zwischen Ihrer Policy und Ihrer Pipeline"}]},{"@type":"WebSite","@id":"https:\/\/jfrog.com\/de\/#website","url":"https:\/\/jfrog.com\/de\/","name":"JFrog","description":"Deliver Trusted Software Releases at Speed and Scale","publisher":{"@id":"https:\/\/jfrog.com\/de\/#organization"},"potentialAction":[{"@type":"SearchAction","target":{"@type":"EntryPoint","urlTemplate":"https:\/\/jfrog.com\/de\/?s={search_term_string}"},"query-input":"required name=search_term_string"}],"inLanguage":"de-DE"},{"@type":"Organization","@id":"https:\/\/jfrog.com\/de\/#organization","name":"JFrog","url":"https:\/\/jfrog.com\/de\/","logo":{"@type":"ImageObject","inLanguage":"de-DE","@id":"https:\/\/jfrog.com\/de\/#\/schema\/logo\/image\/","url":"https:\/\/speedmedia2.jfrog.com\/08612fe1-9391-4cf3-ac1a-6dd49c36b276\/media.jfrog.com\/wp-content\/uploads\/2025\/05\/27095207\/Logo.svg","contentUrl":"https:\/\/speedmedia2.jfrog.com\/08612fe1-9391-4cf3-ac1a-6dd49c36b276\/media.jfrog.com\/wp-content\/uploads\/2025\/05\/27095207\/Logo.svg","width":74,"height":73,"caption":"JFrog"},"image":{"@id":"https:\/\/jfrog.com\/de\/#\/schema\/logo\/image\/"},"sameAs":["https:\/\/www.facebook.com\/artifrog","https:\/\/x.com\/jfrog","https:\/\/www.linkedin.com\/company\/455737","https:\/\/www.youtube.com\/channel\/UCh2hNg76zo3d1qQqTWIQxDg","https:\/\/www.wikidata.org\/wiki\/Q98608948"],"description":"We set out on our Liquid Software journey in 2008, with the mission to transform the way enterprises manage and release software updates. The world expects software to update continuously, securely, non-intrusively and without user intervention. This hyper-connected experience can only be enabled by automation with an end-to-end DevOps platform and a binary-centric focus. With this in mind, we\u2019ve developed the JFrog Platform, ushering in a new era of DevOps and DevSecOps standards that power continuous updates. More than a decade after our founding, with thousands of customers and millions of users globally, JFrog has become the \u201cDatabase of DevOps\u201d and the de-facto standard in release and update management.","legalName":"Jfrog, Inc.","numberOfEmployees":{"@type":"QuantitativeValue","minValue":"1001","maxValue":"5000"}},{"@type":"Person","@id":"https:\/\/jfrog.com\/de\/#\/schema\/person\/506b8c11f17cb8a81546c486fa9f663e","name":"zoer","image":{"@type":"ImageObject","inLanguage":"de-DE","@id":"https:\/\/jfrog.com\/de\/#\/schema\/person\/image\/","url":"https:\/\/secure.gravatar.com\/avatar\/98fe27df64b29d39c0d9f3e1f93264891c82c56b04f5811e5b310089561acf52?s=96&d=mm&r=g","contentUrl":"https:\/\/secure.gravatar.com\/avatar\/98fe27df64b29d39c0d9f3e1f93264891c82c56b04f5811e5b310089561acf52?s=96&d=mm&r=g","caption":"zoer"}}]}},"_links":{"self":[{"href":"https:\/\/jfrog.com\/de\/wp-json\/wp\/v2\/posts\/169433","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/jfrog.com\/de\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/jfrog.com\/de\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/jfrog.com\/de\/wp-json\/wp\/v2\/users\/506"}],"replies":[{"embeddable":true,"href":"https:\/\/jfrog.com\/de\/wp-json\/wp\/v2\/comments?post=169433"}],"version-history":[{"count":1,"href":"https:\/\/jfrog.com\/de\/wp-json\/wp\/v2\/posts\/169433\/revisions"}],"predecessor-version":[{"id":169438,"href":"https:\/\/jfrog.com\/de\/wp-json\/wp\/v2\/posts\/169433\/revisions\/169438"}],"wp:attachment":[{"href":"https:\/\/jfrog.com\/de\/wp-json\/wp\/v2\/media?parent=169433"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/jfrog.com\/de\/wp-json\/wp\/v2\/categories?post=169433"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/jfrog.com\/de\/wp-json\/wp\/v2\/tags?post=169433"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}