Das Open-Source-Ökosystem verzeichnet einen Anstieg bösartiger Softwarekomponenten, laut einem Bericht des Software-Supply-Chain-Management-Unternehmens Sonatype. Seit November 2023 wurden über 500.000 neue bösartige Pakete in Java, JavaScript, Python und
NET-Registries gefunden. Über 70% der 700.000 Malware-Pakete seit 2019 waren neu. Unternehmen haben durchschnittlich 180 Drittanbieterkomponenten in ihren Anwendungen, von denen über 80% anfällige Abhängigkeiten seit über einem Jahr ungepatcht lassen. Die Schwere der Schwachstellen wird oft unterschätzt, was zu rückständigen Abhängigkeiten und unsicheren Updates führt. Bösartige Open-Source-Komponenten beinhalten Phishing, Datendiebstahl, Backdoors, Krypto-Mining und andere Angriffe, die die Software-Lieferkette und Entwickler gefährden. Die Verbreitung von SBOM-Standards und staatlichen Vorschriften fördert die zunehmende Akzeptanz, aber die Sicherheitslücken bleiben unzureichend behoben, wodurch die Behebungszeit für Schwachstellen bis zu 800 Tage in einigen Fällen steigt. Herausgeber sind überfordert und können mit der Menge an Problemen nicht Schritt halten, was die Bedrohung für Unternehmen erhöht. https://www.csoonline.com/article/3566397/verseuchte-open-source-pakete-explodieren.html