\u00a0Welche Risiken identifiziert Dependency-Track?<\/h4>\n<\/div>\n<\/div>\n<\/div>\n\nDependency-Track identifiziert Risiken, indem es die in einem Softwareprojekt verwendeten Komponenten automatisch mit einer Vielzahl an Schwachstellendatenbanken und Security-Feeds abgleicht. Dabei nutzt die Plattform verschiedene renommierte Datenquellen, um bekannte Sicherheitsl\u00fccken, Fehlkonfigurationen oder veraltete Abh\u00e4ngigkeiten aufzusp\u00fcren. Zu diesen Quellen geh\u00f6ren unter anderem:<\/div>\n<\/div>\n– National Vulnerability Database (NVD)<\/div>\n– GitHub Security Advisories<\/div>\n– Sonatype OSS Index<\/div>\n– Snyk<\/div>\n– Trivy<\/div>\n– OSV<\/div>\n– VulnDB<\/div>\n\n\nDurch die Kombination dieser Quellen erh\u00e4lt Dependency-Track ein umfassendes Bild \u00fcber potenzielle Schwachstellen und kann Risiken fr\u00fchzeitig und zuverl\u00e4ssig sichtbar machen.<\/div>\n<\/div>\nWelche Technologien unterst\u00fctzt Dependency-Track?<\/h4>\n<\/div>\n<\/div>\n<\/div>\n<\/div>\n\nDependency-Track ist gr\u00f6\u00dftenteils technologieunabh\u00e4ngig und unterst\u00fctzt eine Vielzahl g\u00e4ngiger Paket-\u00d6kosysteme direkt out of the box. Dank der integrierten Repository-Anbindung k\u00f6nnen Abh\u00e4ngigkeiten aus unterschiedlichen Programmiersprachen und Build-Systemen automatisch erkannt und verarbeitet werden. Unterst\u00fctzt werden unter anderem Cargo f\u00fcr Rust, Composer f\u00fcr PHP, Gems f\u00fcr Ruby, Hex f\u00fcr Erlang und Elixir, Maven f\u00fcr Java, NPM f\u00fcr JavaScript, NuGet f\u00fcr .NET sowie PyPI f\u00fcr Python. Weitere Paketquellen und \u00d6kosysteme befinden sich bereits in Entwicklung und werden k\u00fcnftig erg\u00e4nzt, sodass die Plattform langfristig eine noch breitere Abdeckung bieten wird.<\/div>\n<\/div>\nWas ist eine SBOM?<\/h1>\n\nEine Software Bill of Materials (SBOM) ist eine detaillierte St\u00fcckliste aller Komponenten, aus denen eine Software besteht. So wie in der Hardwarewelt ein Ger\u00e4t eine Liste aller verbauten Teile besitzt, listet eine SBOM alle Bibliotheken, Abh\u00e4ngigkeiten und deren Versionen auf.<\/div>\ntypische Komponenten:<\/div>\n\n- SBOM-Meta-Informationen<\/li>\n
- Lieferantenname<\/li>\n
- Komponentenname<\/li>\n
- Version der Komponente<\/li>\n
- Andere eindeutige Identifikatoren (Common Platform Enumeration, SWID-Tags, …)<\/li>\n
- Kryptografischer Hash<\/li>\n
- Abh\u00e4ngigkeitsbeziehung<\/li>\n
- Lizenzinformationen<\/li>\n
- Copyright-Hinweis<\/li>\n<\/ul>\n\n
Standards<\/h2>\nCycloneDX (OWASP)<\/h3>\nCycloneDX von OWASP wird von Dependency-Track nativ unterst\u00fctzt und ist stark auf Security, Risiken und Compliance ausgerichtet. Das Format kann sowohl in JSON als auch in XML verwendet werden und enth\u00e4lt typische Felder wie Komponenten, Services, Dependencies und Vulnerabilities.<\/div>\n<\/div>\n<\/div>\n\n\nSPDX (Linux Foundation)<\/h3>\n
SPDX hingegen, entwickelt von der Linux Foundation, entstand urspr\u00fcnglich f\u00fcr das Lizenzmanagement, wurde aber sp\u00e4ter um Sicherheitsaspekte erweitert. Es ist weit verbreitet in Open-Source-Projekten und dient heute als etabliertes Format f\u00fcr die Dokumentation von Softwarest\u00fccklisten und Compliance-Informationen.<\/p>\n<\/div>\n<\/div>\n
Notwendigkeit eines SCA-Werkzeugs<\/h1>\n
Moderne Softwareprojekte bestehen zu einem erheblichen Teil aus Open-Source-Komponenten \u2013 oft zu 80 % oder mehr. Was Entwicklungszyklen beschleunigt, schafft gleichzeitig Abh\u00e4ngigkeiten, die weit \u00fcber den eigenen Code hinausreichen. Ein durchschnittliches Node.js-Projekt l\u00e4dt hunderte transitive Pakete in den node_modules<\/code>-Ordner, von denen die wenigsten je manuell gepr\u00fcft werden.<\/p>\nSoftware Composition Analysis (SCA) adressiert diese Intransparenz auf mehreren Ebenen: Sie identifiziert bekannte Schwachstellen<\/strong> in Abh\u00e4ngigkeiten, bevor diese ausgenutzt werden k\u00f6nnen, und deckt Lizenzkonflikte<\/strong> auf, die rechtliche Konsequenzen nach sich ziehen k\u00f6nnten. Mit dem EU Cyber Resilience Act und der NIS2-Richtlinie wird SCA zudem zum regulatorischen Muss<\/strong> \u2013 SBOM-Bereitstellung ist keine Option mehr, sondern Pflicht.<\/p>\nAuch aus rein technischer Sicht \u00fcberzeugt der Einsatz: Verwaiste Pakete, veraltete Major-Versionen und deprecated Dependencies lassen sich systematisch erfassen und abbauen. Die nahtlose Integration in CI\/CD-Pipelines<\/strong> erm\u00f6glicht automatisierte Pr\u00fcfungen bei jedem Commit, w\u00e4hrend standardisierte SBOM-Exporte Kundenanforderungen im B2B-Kontext<\/strong> bedienen.<\/p>\nDoch all diese Aspekte verblassen neben der vielleicht gravierendsten Bedrohung: Supply Chain Attacks<\/strong>. Hier werden nicht einzelne Schwachstellen ausgenutzt, sondern ganze Pakete kompromittiert \u2013 mit potenziell katastrophalen Kaskadeneffekten \u00fcber tausende Projekte hinweg.<\/p>\nDie Gefahr der Supply Chain Attacks<\/h2>\n
Software-Lieferketten sind zu einem prim\u00e4ren Angriffsvektor f\u00fcr Cyberkriminelle geworden. Anstatt Endanwendungen direkt anzugreifen, zielen Akteure zunehmend auf die Abh\u00e4ngigkeiten, die Entwickler t\u00e4glich in ihre Projekte integrieren. Ein kompromittiertes Paket kann sich innerhalb von Stunden \u00fcber tausende Downstream-Projekte verbreiten \u2013 oft unbemerkt, bis der Schaden bereits angerichtet ist.<\/p>\n
Was ist eine Supply Chain Attack?<\/h3>\n
Bei der Entwicklung von Software wird h\u00e4ufig bereits existierender Quellcode von Dritten (in Form von Bibliotheken, Frameworks, etc.) genutzt um sich beim Entwickeln nicht auf bereits gel\u00f6ste Probleme zu konzentrieren, sondern sich ganz den spezifischen Anforderungen der neuentwickelten Software zu widmen. Solche eingebundenen Bibliotheken oder Frameworks werden als Abh\u00e4ngigkeiten (engl. Dependencies) zusammengefasst.<\/p>\n
Allerdings greifen h\u00e4ufig auch die Entwickler dieser Abh\u00e4ngigkeiten auf Quellcode von Dritten zur\u00fcck und sind dementsprechend von diesem Quellcode auch wieder abh\u00e4ngig. Im Folgendem werden erste Art von Abh\u00e4ngigkeit direkt<\/strong> und zweite Art als indirekt<\/strong> bezeichnet.<\/p>\n![\"\"](\"https:\/\/informatik.htwk-leipzig.de\/seminar\/wp-content\/uploads\/2025\/12\/supply-chain-attack-1-1024x730.png\")
<\/p>\n
Den \u00dcberblick \u00fcber alle Abh\u00e4ngigkeiten einer Software zu behalten ist sehr herausfordernd, insbesondere wenn die Anzahl der indirekten Abh\u00e4ngigkeiten hoch ist, bzw. sogar w\u00e4chst. Diese Abh\u00e4ngigkeiten sind nicht direkt mit den herk\u00f6mmlichen Werkzeugen (z.B. Paketmanagern wie npm) einsehbar. Bei einer Supply Chain Attack wird genau dieses Problem ausgenutzt. Es wird Schadsoftware an einer Stelle in die Abh\u00e4ngigkeiten eingef\u00fchrt. Dies kann zum Beispiel durch die Infizierung eines beliebten Frameworks\/Bibliothek passieren. Es kann aber auch eine neue scheinbar harmlose Bibliothek ver\u00f6ffentlicht werden, welche dann von nichts ahnenden Entwicklern als Abh\u00e4ngigkeit genutzt wird. Die so eingef\u00fchrte Schadsoftware kann dann im schlimmsten Fall willk\u00fcrlich beliebigen Programmcode auf der Maschine eines Entwicklers oder sogar beim Kunden der Software ausf\u00fchren.<\/p>\n
![\"\"](\"https:\/\/informatik.htwk-leipzig.de\/seminar\/wp-content\/uploads\/2025\/12\/supply-chain-attack-poisoned-1-1024x730.png\")
<\/strong><\/p>\nSha1-Hulud: The Second Coming: Eine Supply Chain Attack im NPM-\u00d6kosystem<\/h3>\n
Am 24. November 2025 wurde das npm-\u00d6kosystem von einer der aggressivsten Supply Chain Attacken der letzten Jahre getroffen: Shai-Hulud 2.0 (auch „Sha1-Hulud: The Second Coming“ genannt). Innerhalb weniger Stunden kompromittierte der selbstreplizierende Wurm ~700 npm-Pakete \u00fcber <\/strong>~25.000 GitHub-Repositories <\/strong>hinweg! Zu den initial infizierten Paketen (Patient Zero) geh\u00f6ren popul\u00e4re Bibliotheken\/SDKs wie posthog-js<\/code>, @ensdomains\/ensjs<\/code> und zapier-platform-core<\/code>.<\/p>\nDie Malware hat Umgebungsvariablen und Konfigurationsdateien in lokalen Entwicklungsumgebungen nach GitHub-PATs, npm-Tokens sowie AWS-, GCP- und Azure-Credentials durchsucht. Diese wurden dann clever \u00fcber \u00f6ffentliche GitHub-Repositories nach dreifacher base64-Kodierung ver\u00f6ffentlicht. Dort konnten sie dann zu einem sp\u00e4teren Zeitpunkt von den Akteuren der Attacke „geerntet“ werden.<\/p>\n
Warum SBOMs Teil der L\u00f6sung sind<\/h3>\n
Gegen Supply Chain Attacks k\u00f6nnen vorrangig robuste Abh\u00e4ngigkeitsverwaltungssysteme mit SBOM-Generierung eingesetzt werden. Diese bieten aus mehreren Perspektiven einen Vorteil im Schutz gegen solche Attacken:<\/p>\n
1. Transparenz<\/strong>: Eine aktuelle Software Bill of Materials macht alle direkten und indirekten (transitiven) Abh\u00e4ngigkeiten sichtbar
\n2. Versionskontrolle<\/strong>: Pinning auf bekannte sichere Versionen verhindert das automatische Einschleusen kompromittierter Updates
\n3. Schnelle Reaktion<\/strong>: Bei Bekanntwerden einer Kompromittierung erm\u00f6glicht die SBOM die sofortige Identifikation betroffener Projekte
\n4. Audit Trail<\/strong>: Die dokumentierte Abh\u00e4ngigkeitskette unterst\u00fctzt forensische Analysen<\/p>\nDie CISA empfiehlt in ihrem Advisory zum Shai-Hulud-Vorfall (betrifft hier sogar schon Version 1 des Wurms vom September 2025)<\/em> explizit die Nutzung von SCA-Tools (Software Composition Analysis) und die Erstellung von SBOMs als pr\u00e4ventive Ma\u00dfnahme.<\/p>\nIntegration<\/h1>\n
Dependency Track besteht im Kern aus einem API-Server. Zus\u00e4tzlich wird ein Frontend mitgeliefert, um die Funktionen des API-Servers zu nutzen und die Einrichtung leicht durchf\u00fchren zu k\u00f6nnen. Aufgrund des API-First-Designs bietet das Werkzeug verschiedene M\u00f6glichkeiten zur Integration in den Softwareentwicklungsablauf.<\/p>\n
Um Dependency Track verwenden zu k\u00f6nnen, gibt es zwei M\u00f6glichkeiten, es aufzusetzen. Zum einen mittels Docker Compose durch eine vorkonfigurierte docker-compose.yaml<\/em> Datei. Damit kann Dependency Track einfach und schnell ausprobiert werden durch die beiden Befehle:<\/p>\n\n\n# Downloaded die neuste Docker Compose Datei<\/span>\r\ncurl -LO<\/span> https:\/\/dependencytrack.org\/docker-compose.yml\r\n\r\n# Startet den Stack<\/span>\r\ndocker compose up -d<\/span>\r\n<\/code><\/pre>\n<\/div>\n<\/div>\nZum anderen kann es auf einem Kubernetes-Cluster deployed werden. Die Installation kann durch das Dependency-Track-Repository \u00fcber den Paketmanager Helm.sh<\/a> erfolgen. Dabei sollte die Resourcennutzung nicht vernachl\u00e4ssigt werden:<\/p>\n <\/p>\n
API Server:<\/strong><\/p>\n
Welche Technologien unterst\u00fctzt Dependency-Track?<\/h4>\n<\/div>\n<\/div>\n<\/div>\n<\/div>\n\nDependency-Track ist gr\u00f6\u00dftenteils technologieunabh\u00e4ngig und unterst\u00fctzt eine Vielzahl g\u00e4ngiger Paket-\u00d6kosysteme direkt out of the box. Dank der integrierten Repository-Anbindung k\u00f6nnen Abh\u00e4ngigkeiten aus unterschiedlichen Programmiersprachen und Build-Systemen automatisch erkannt und verarbeitet werden. Unterst\u00fctzt werden unter anderem Cargo f\u00fcr Rust, Composer f\u00fcr PHP, Gems f\u00fcr Ruby, Hex f\u00fcr Erlang und Elixir, Maven f\u00fcr Java, NPM f\u00fcr JavaScript, NuGet f\u00fcr .NET sowie PyPI f\u00fcr Python. Weitere Paketquellen und \u00d6kosysteme befinden sich bereits in Entwicklung und werden k\u00fcnftig erg\u00e4nzt, sodass die Plattform langfristig eine noch breitere Abdeckung bieten wird.<\/div>\n<\/div>\nWas ist eine SBOM?<\/h1>\n\nEine Software Bill of Materials (SBOM) ist eine detaillierte St\u00fcckliste aller Komponenten, aus denen eine Software besteht. So wie in der Hardwarewelt ein Ger\u00e4t eine Liste aller verbauten Teile besitzt, listet eine SBOM alle Bibliotheken, Abh\u00e4ngigkeiten und deren Versionen auf.<\/div>\ntypische Komponenten:<\/div>\n\n- SBOM-Meta-Informationen<\/li>\n
- Lieferantenname<\/li>\n
- Komponentenname<\/li>\n
- Version der Komponente<\/li>\n
- Andere eindeutige Identifikatoren (Common Platform Enumeration, SWID-Tags, …)<\/li>\n
- Kryptografischer Hash<\/li>\n
- Abh\u00e4ngigkeitsbeziehung<\/li>\n
- Lizenzinformationen<\/li>\n
- Copyright-Hinweis<\/li>\n<\/ul>\n\n
Standards<\/h2>\nCycloneDX (OWASP)<\/h3>\nCycloneDX von OWASP wird von Dependency-Track nativ unterst\u00fctzt und ist stark auf Security, Risiken und Compliance ausgerichtet. Das Format kann sowohl in JSON als auch in XML verwendet werden und enth\u00e4lt typische Felder wie Komponenten, Services, Dependencies und Vulnerabilities.<\/div>\n<\/div>\n<\/div>\n\n\nSPDX (Linux Foundation)<\/h3>\n
SPDX hingegen, entwickelt von der Linux Foundation, entstand urspr\u00fcnglich f\u00fcr das Lizenzmanagement, wurde aber sp\u00e4ter um Sicherheitsaspekte erweitert. Es ist weit verbreitet in Open-Source-Projekten und dient heute als etabliertes Format f\u00fcr die Dokumentation von Softwarest\u00fccklisten und Compliance-Informationen.<\/p>\n<\/div>\n<\/div>\n
Notwendigkeit eines SCA-Werkzeugs<\/h1>\n
Moderne Softwareprojekte bestehen zu einem erheblichen Teil aus Open-Source-Komponenten \u2013 oft zu 80 % oder mehr. Was Entwicklungszyklen beschleunigt, schafft gleichzeitig Abh\u00e4ngigkeiten, die weit \u00fcber den eigenen Code hinausreichen. Ein durchschnittliches Node.js-Projekt l\u00e4dt hunderte transitive Pakete in den node_modules<\/code>-Ordner, von denen die wenigsten je manuell gepr\u00fcft werden.<\/p>\nSoftware Composition Analysis (SCA) adressiert diese Intransparenz auf mehreren Ebenen: Sie identifiziert bekannte Schwachstellen<\/strong> in Abh\u00e4ngigkeiten, bevor diese ausgenutzt werden k\u00f6nnen, und deckt Lizenzkonflikte<\/strong> auf, die rechtliche Konsequenzen nach sich ziehen k\u00f6nnten. Mit dem EU Cyber Resilience Act und der NIS2-Richtlinie wird SCA zudem zum regulatorischen Muss<\/strong> \u2013 SBOM-Bereitstellung ist keine Option mehr, sondern Pflicht.<\/p>\nAuch aus rein technischer Sicht \u00fcberzeugt der Einsatz: Verwaiste Pakete, veraltete Major-Versionen und deprecated Dependencies lassen sich systematisch erfassen und abbauen. Die nahtlose Integration in CI\/CD-Pipelines<\/strong> erm\u00f6glicht automatisierte Pr\u00fcfungen bei jedem Commit, w\u00e4hrend standardisierte SBOM-Exporte Kundenanforderungen im B2B-Kontext<\/strong> bedienen.<\/p>\nDoch all diese Aspekte verblassen neben der vielleicht gravierendsten Bedrohung: Supply Chain Attacks<\/strong>. Hier werden nicht einzelne Schwachstellen ausgenutzt, sondern ganze Pakete kompromittiert \u2013 mit potenziell katastrophalen Kaskadeneffekten \u00fcber tausende Projekte hinweg.<\/p>\nDie Gefahr der Supply Chain Attacks<\/h2>\n
Software-Lieferketten sind zu einem prim\u00e4ren Angriffsvektor f\u00fcr Cyberkriminelle geworden. Anstatt Endanwendungen direkt anzugreifen, zielen Akteure zunehmend auf die Abh\u00e4ngigkeiten, die Entwickler t\u00e4glich in ihre Projekte integrieren. Ein kompromittiertes Paket kann sich innerhalb von Stunden \u00fcber tausende Downstream-Projekte verbreiten \u2013 oft unbemerkt, bis der Schaden bereits angerichtet ist.<\/p>\n
Was ist eine Supply Chain Attack?<\/h3>\n
Bei der Entwicklung von Software wird h\u00e4ufig bereits existierender Quellcode von Dritten (in Form von Bibliotheken, Frameworks, etc.) genutzt um sich beim Entwickeln nicht auf bereits gel\u00f6ste Probleme zu konzentrieren, sondern sich ganz den spezifischen Anforderungen der neuentwickelten Software zu widmen. Solche eingebundenen Bibliotheken oder Frameworks werden als Abh\u00e4ngigkeiten (engl. Dependencies) zusammengefasst.<\/p>\n
Allerdings greifen h\u00e4ufig auch die Entwickler dieser Abh\u00e4ngigkeiten auf Quellcode von Dritten zur\u00fcck und sind dementsprechend von diesem Quellcode auch wieder abh\u00e4ngig. Im Folgendem werden erste Art von Abh\u00e4ngigkeit direkt<\/strong> und zweite Art als indirekt<\/strong> bezeichnet.<\/p>\n<\/p>\n
Den \u00dcberblick \u00fcber alle Abh\u00e4ngigkeiten einer Software zu behalten ist sehr herausfordernd, insbesondere wenn die Anzahl der indirekten Abh\u00e4ngigkeiten hoch ist, bzw. sogar w\u00e4chst. Diese Abh\u00e4ngigkeiten sind nicht direkt mit den herk\u00f6mmlichen Werkzeugen (z.B. Paketmanagern wie npm) einsehbar. Bei einer Supply Chain Attack wird genau dieses Problem ausgenutzt. Es wird Schadsoftware an einer Stelle in die Abh\u00e4ngigkeiten eingef\u00fchrt. Dies kann zum Beispiel durch die Infizierung eines beliebten Frameworks\/Bibliothek passieren. Es kann aber auch eine neue scheinbar harmlose Bibliothek ver\u00f6ffentlicht werden, welche dann von nichts ahnenden Entwicklern als Abh\u00e4ngigkeit genutzt wird. Die so eingef\u00fchrte Schadsoftware kann dann im schlimmsten Fall willk\u00fcrlich beliebigen Programmcode auf der Maschine eines Entwicklers oder sogar beim Kunden der Software ausf\u00fchren.<\/p>\n
<\/strong><\/p>\nSha1-Hulud: The Second Coming: Eine Supply Chain Attack im NPM-\u00d6kosystem<\/h3>\n
Am 24. November 2025 wurde das npm-\u00d6kosystem von einer der aggressivsten Supply Chain Attacken der letzten Jahre getroffen: Shai-Hulud 2.0 (auch „Sha1-Hulud: The Second Coming“ genannt). Innerhalb weniger Stunden kompromittierte der selbstreplizierende Wurm ~700 npm-Pakete \u00fcber <\/strong>~25.000 GitHub-Repositories <\/strong>hinweg! Zu den initial infizierten Paketen (Patient Zero) geh\u00f6ren popul\u00e4re Bibliotheken\/SDKs wie posthog-js<\/code>, @ensdomains\/ensjs<\/code> und zapier-platform-core<\/code>.<\/p>\nDie Malware hat Umgebungsvariablen und Konfigurationsdateien in lokalen Entwicklungsumgebungen nach GitHub-PATs, npm-Tokens sowie AWS-, GCP- und Azure-Credentials durchsucht. Diese wurden dann clever \u00fcber \u00f6ffentliche GitHub-Repositories nach dreifacher base64-Kodierung ver\u00f6ffentlicht. Dort konnten sie dann zu einem sp\u00e4teren Zeitpunkt von den Akteuren der Attacke „geerntet“ werden.<\/p>\n
Warum SBOMs Teil der L\u00f6sung sind<\/h3>\n
Gegen Supply Chain Attacks k\u00f6nnen vorrangig robuste Abh\u00e4ngigkeitsverwaltungssysteme mit SBOM-Generierung eingesetzt werden. Diese bieten aus mehreren Perspektiven einen Vorteil im Schutz gegen solche Attacken:<\/p>\n
1. Transparenz<\/strong>: Eine aktuelle Software Bill of Materials macht alle direkten und indirekten (transitiven) Abh\u00e4ngigkeiten sichtbar
\n2. Versionskontrolle<\/strong>: Pinning auf bekannte sichere Versionen verhindert das automatische Einschleusen kompromittierter Updates
\n3. Schnelle Reaktion<\/strong>: Bei Bekanntwerden einer Kompromittierung erm\u00f6glicht die SBOM die sofortige Identifikation betroffener Projekte
\n4. Audit Trail<\/strong>: Die dokumentierte Abh\u00e4ngigkeitskette unterst\u00fctzt forensische Analysen<\/p>\nDie CISA empfiehlt in ihrem Advisory zum Shai-Hulud-Vorfall (betrifft hier sogar schon Version 1 des Wurms vom September 2025)<\/em> explizit die Nutzung von SCA-Tools (Software Composition Analysis) und die Erstellung von SBOMs als pr\u00e4ventive Ma\u00dfnahme.<\/p>\nIntegration<\/h1>\n
Dependency Track besteht im Kern aus einem API-Server. Zus\u00e4tzlich wird ein Frontend mitgeliefert, um die Funktionen des API-Servers zu nutzen und die Einrichtung leicht durchf\u00fchren zu k\u00f6nnen. Aufgrund des API-First-Designs bietet das Werkzeug verschiedene M\u00f6glichkeiten zur Integration in den Softwareentwicklungsablauf.<\/p>\n
Um Dependency Track verwenden zu k\u00f6nnen, gibt es zwei M\u00f6glichkeiten, es aufzusetzen. Zum einen mittels Docker Compose durch eine vorkonfigurierte docker-compose.yaml<\/em> Datei. Damit kann Dependency Track einfach und schnell ausprobiert werden durch die beiden Befehle:<\/p>\n\n\n# Downloaded die neuste Docker Compose Datei<\/span>\r\ncurl -LO<\/span> https:\/\/dependencytrack.org\/docker-compose.yml\r\n\r\n# Startet den Stack<\/span>\r\ndocker compose up -d<\/span>\r\n<\/code><\/pre>\n<\/div>\n<\/div>\nZum anderen kann es auf einem Kubernetes-Cluster deployed werden. Die Installation kann durch das Dependency-Track-Repository \u00fcber den Paketmanager Helm.sh<\/a> erfolgen. Dabei sollte die Resourcennutzung nicht vernachl\u00e4ssigt werden:<\/p>\n <\/p>\n
API Server:<\/strong><\/p>\n
Was ist eine SBOM?<\/h1>\n\nEine Software Bill of Materials (SBOM) ist eine detaillierte St\u00fcckliste aller Komponenten, aus denen eine Software besteht. So wie in der Hardwarewelt ein Ger\u00e4t eine Liste aller verbauten Teile besitzt, listet eine SBOM alle Bibliotheken, Abh\u00e4ngigkeiten und deren Versionen auf.<\/div>\ntypische Komponenten:<\/div>\n\n- SBOM-Meta-Informationen<\/li>\n
- Lieferantenname<\/li>\n
- Komponentenname<\/li>\n
- Version der Komponente<\/li>\n
- Andere eindeutige Identifikatoren (Common Platform Enumeration, SWID-Tags, …)<\/li>\n
- Kryptografischer Hash<\/li>\n
- Abh\u00e4ngigkeitsbeziehung<\/li>\n
- Lizenzinformationen<\/li>\n
- Copyright-Hinweis<\/li>\n<\/ul>\n\n
Standards<\/h2>\nCycloneDX (OWASP)<\/h3>\nCycloneDX von OWASP wird von Dependency-Track nativ unterst\u00fctzt und ist stark auf Security, Risiken und Compliance ausgerichtet. Das Format kann sowohl in JSON als auch in XML verwendet werden und enth\u00e4lt typische Felder wie Komponenten, Services, Dependencies und Vulnerabilities.<\/div>\n<\/div>\n<\/div>\n\n\nSPDX (Linux Foundation)<\/h3>\n
SPDX hingegen, entwickelt von der Linux Foundation, entstand urspr\u00fcnglich f\u00fcr das Lizenzmanagement, wurde aber sp\u00e4ter um Sicherheitsaspekte erweitert. Es ist weit verbreitet in Open-Source-Projekten und dient heute als etabliertes Format f\u00fcr die Dokumentation von Softwarest\u00fccklisten und Compliance-Informationen.<\/p>\n<\/div>\n<\/div>\n
Notwendigkeit eines SCA-Werkzeugs<\/h1>\n
Moderne Softwareprojekte bestehen zu einem erheblichen Teil aus Open-Source-Komponenten \u2013 oft zu 80 % oder mehr. Was Entwicklungszyklen beschleunigt, schafft gleichzeitig Abh\u00e4ngigkeiten, die weit \u00fcber den eigenen Code hinausreichen. Ein durchschnittliches Node.js-Projekt l\u00e4dt hunderte transitive Pakete in den node_modules<\/code>-Ordner, von denen die wenigsten je manuell gepr\u00fcft werden.<\/p>\nSoftware Composition Analysis (SCA) adressiert diese Intransparenz auf mehreren Ebenen: Sie identifiziert bekannte Schwachstellen<\/strong> in Abh\u00e4ngigkeiten, bevor diese ausgenutzt werden k\u00f6nnen, und deckt Lizenzkonflikte<\/strong> auf, die rechtliche Konsequenzen nach sich ziehen k\u00f6nnten. Mit dem EU Cyber Resilience Act und der NIS2-Richtlinie wird SCA zudem zum regulatorischen Muss<\/strong> \u2013 SBOM-Bereitstellung ist keine Option mehr, sondern Pflicht.<\/p>\nAuch aus rein technischer Sicht \u00fcberzeugt der Einsatz: Verwaiste Pakete, veraltete Major-Versionen und deprecated Dependencies lassen sich systematisch erfassen und abbauen. Die nahtlose Integration in CI\/CD-Pipelines<\/strong> erm\u00f6glicht automatisierte Pr\u00fcfungen bei jedem Commit, w\u00e4hrend standardisierte SBOM-Exporte Kundenanforderungen im B2B-Kontext<\/strong> bedienen.<\/p>\nDoch all diese Aspekte verblassen neben der vielleicht gravierendsten Bedrohung: Supply Chain Attacks<\/strong>. Hier werden nicht einzelne Schwachstellen ausgenutzt, sondern ganze Pakete kompromittiert \u2013 mit potenziell katastrophalen Kaskadeneffekten \u00fcber tausende Projekte hinweg.<\/p>\nDie Gefahr der Supply Chain Attacks<\/h2>\n
Software-Lieferketten sind zu einem prim\u00e4ren Angriffsvektor f\u00fcr Cyberkriminelle geworden. Anstatt Endanwendungen direkt anzugreifen, zielen Akteure zunehmend auf die Abh\u00e4ngigkeiten, die Entwickler t\u00e4glich in ihre Projekte integrieren. Ein kompromittiertes Paket kann sich innerhalb von Stunden \u00fcber tausende Downstream-Projekte verbreiten \u2013 oft unbemerkt, bis der Schaden bereits angerichtet ist.<\/p>\n
Was ist eine Supply Chain Attack?<\/h3>\n
Bei der Entwicklung von Software wird h\u00e4ufig bereits existierender Quellcode von Dritten (in Form von Bibliotheken, Frameworks, etc.) genutzt um sich beim Entwickeln nicht auf bereits gel\u00f6ste Probleme zu konzentrieren, sondern sich ganz den spezifischen Anforderungen der neuentwickelten Software zu widmen. Solche eingebundenen Bibliotheken oder Frameworks werden als Abh\u00e4ngigkeiten (engl. Dependencies) zusammengefasst.<\/p>\n
Allerdings greifen h\u00e4ufig auch die Entwickler dieser Abh\u00e4ngigkeiten auf Quellcode von Dritten zur\u00fcck und sind dementsprechend von diesem Quellcode auch wieder abh\u00e4ngig. Im Folgendem werden erste Art von Abh\u00e4ngigkeit direkt<\/strong> und zweite Art als indirekt<\/strong> bezeichnet.<\/p>\n<\/p>\n
Den \u00dcberblick \u00fcber alle Abh\u00e4ngigkeiten einer Software zu behalten ist sehr herausfordernd, insbesondere wenn die Anzahl der indirekten Abh\u00e4ngigkeiten hoch ist, bzw. sogar w\u00e4chst. Diese Abh\u00e4ngigkeiten sind nicht direkt mit den herk\u00f6mmlichen Werkzeugen (z.B. Paketmanagern wie npm) einsehbar. Bei einer Supply Chain Attack wird genau dieses Problem ausgenutzt. Es wird Schadsoftware an einer Stelle in die Abh\u00e4ngigkeiten eingef\u00fchrt. Dies kann zum Beispiel durch die Infizierung eines beliebten Frameworks\/Bibliothek passieren. Es kann aber auch eine neue scheinbar harmlose Bibliothek ver\u00f6ffentlicht werden, welche dann von nichts ahnenden Entwicklern als Abh\u00e4ngigkeit genutzt wird. Die so eingef\u00fchrte Schadsoftware kann dann im schlimmsten Fall willk\u00fcrlich beliebigen Programmcode auf der Maschine eines Entwicklers oder sogar beim Kunden der Software ausf\u00fchren.<\/p>\n
<\/strong><\/p>\nSha1-Hulud: The Second Coming: Eine Supply Chain Attack im NPM-\u00d6kosystem<\/h3>\n
Am 24. November 2025 wurde das npm-\u00d6kosystem von einer der aggressivsten Supply Chain Attacken der letzten Jahre getroffen: Shai-Hulud 2.0 (auch „Sha1-Hulud: The Second Coming“ genannt). Innerhalb weniger Stunden kompromittierte der selbstreplizierende Wurm ~700 npm-Pakete \u00fcber <\/strong>~25.000 GitHub-Repositories <\/strong>hinweg! Zu den initial infizierten Paketen (Patient Zero) geh\u00f6ren popul\u00e4re Bibliotheken\/SDKs wie posthog-js<\/code>, @ensdomains\/ensjs<\/code> und zapier-platform-core<\/code>.<\/p>\nDie Malware hat Umgebungsvariablen und Konfigurationsdateien in lokalen Entwicklungsumgebungen nach GitHub-PATs, npm-Tokens sowie AWS-, GCP- und Azure-Credentials durchsucht. Diese wurden dann clever \u00fcber \u00f6ffentliche GitHub-Repositories nach dreifacher base64-Kodierung ver\u00f6ffentlicht. Dort konnten sie dann zu einem sp\u00e4teren Zeitpunkt von den Akteuren der Attacke „geerntet“ werden.<\/p>\n
Warum SBOMs Teil der L\u00f6sung sind<\/h3>\n
Gegen Supply Chain Attacks k\u00f6nnen vorrangig robuste Abh\u00e4ngigkeitsverwaltungssysteme mit SBOM-Generierung eingesetzt werden. Diese bieten aus mehreren Perspektiven einen Vorteil im Schutz gegen solche Attacken:<\/p>\n
1. Transparenz<\/strong>: Eine aktuelle Software Bill of Materials macht alle direkten und indirekten (transitiven) Abh\u00e4ngigkeiten sichtbar
\n2. Versionskontrolle<\/strong>: Pinning auf bekannte sichere Versionen verhindert das automatische Einschleusen kompromittierter Updates
\n3. Schnelle Reaktion<\/strong>: Bei Bekanntwerden einer Kompromittierung erm\u00f6glicht die SBOM die sofortige Identifikation betroffener Projekte
\n4. Audit Trail<\/strong>: Die dokumentierte Abh\u00e4ngigkeitskette unterst\u00fctzt forensische Analysen<\/p>\nDie CISA empfiehlt in ihrem Advisory zum Shai-Hulud-Vorfall (betrifft hier sogar schon Version 1 des Wurms vom September 2025)<\/em> explizit die Nutzung von SCA-Tools (Software Composition Analysis) und die Erstellung von SBOMs als pr\u00e4ventive Ma\u00dfnahme.<\/p>\nIntegration<\/h1>\n
Dependency Track besteht im Kern aus einem API-Server. Zus\u00e4tzlich wird ein Frontend mitgeliefert, um die Funktionen des API-Servers zu nutzen und die Einrichtung leicht durchf\u00fchren zu k\u00f6nnen. Aufgrund des API-First-Designs bietet das Werkzeug verschiedene M\u00f6glichkeiten zur Integration in den Softwareentwicklungsablauf.<\/p>\n
Um Dependency Track verwenden zu k\u00f6nnen, gibt es zwei M\u00f6glichkeiten, es aufzusetzen. Zum einen mittels Docker Compose durch eine vorkonfigurierte docker-compose.yaml<\/em> Datei. Damit kann Dependency Track einfach und schnell ausprobiert werden durch die beiden Befehle:<\/p>\n\n\n# Downloaded die neuste Docker Compose Datei<\/span>\r\ncurl -LO<\/span> https:\/\/dependencytrack.org\/docker-compose.yml\r\n\r\n# Startet den Stack<\/span>\r\ndocker compose up -d<\/span>\r\n<\/code><\/pre>\n<\/div>\n<\/div>\nZum anderen kann es auf einem Kubernetes-Cluster deployed werden. Die Installation kann durch das Dependency-Track-Repository \u00fcber den Paketmanager Helm.sh<\/a> erfolgen. Dabei sollte die Resourcennutzung nicht vernachl\u00e4ssigt werden:<\/p>\n <\/p>\n
API Server:<\/strong><\/p>\n
- \n
- SBOM-Meta-Informationen<\/li>\n
- Lieferantenname<\/li>\n
- Komponentenname<\/li>\n
- Version der Komponente<\/li>\n
- Andere eindeutige Identifikatoren (Common Platform Enumeration, SWID-Tags, …)<\/li>\n
- Kryptografischer Hash<\/li>\n
- Abh\u00e4ngigkeitsbeziehung<\/li>\n
- Lizenzinformationen<\/li>\n
- Copyright-Hinweis<\/li>\n<\/ul>\n\n
Standards<\/h2>\n
CycloneDX (OWASP)<\/h3>\n
CycloneDX von OWASP wird von Dependency-Track nativ unterst\u00fctzt und ist stark auf Security, Risiken und Compliance ausgerichtet. Das Format kann sowohl in JSON als auch in XML verwendet werden und enth\u00e4lt typische Felder wie Komponenten, Services, Dependencies und Vulnerabilities.<\/div>\n<\/div>\n<\/div>\n\n\nSPDX (Linux Foundation)<\/h3>\n
SPDX hingegen, entwickelt von der Linux Foundation, entstand urspr\u00fcnglich f\u00fcr das Lizenzmanagement, wurde aber sp\u00e4ter um Sicherheitsaspekte erweitert. Es ist weit verbreitet in Open-Source-Projekten und dient heute als etabliertes Format f\u00fcr die Dokumentation von Softwarest\u00fccklisten und Compliance-Informationen.<\/p>\n<\/div>\n<\/div>\n
Notwendigkeit eines SCA-Werkzeugs<\/h1>\n
Moderne Softwareprojekte bestehen zu einem erheblichen Teil aus Open-Source-Komponenten \u2013 oft zu 80 % oder mehr. Was Entwicklungszyklen beschleunigt, schafft gleichzeitig Abh\u00e4ngigkeiten, die weit \u00fcber den eigenen Code hinausreichen. Ein durchschnittliches Node.js-Projekt l\u00e4dt hunderte transitive Pakete in den
node_modules<\/code>-Ordner, von denen die wenigsten je manuell gepr\u00fcft werden.<\/p>\nSoftware Composition Analysis (SCA) adressiert diese Intransparenz auf mehreren Ebenen: Sie identifiziert bekannte Schwachstellen<\/strong> in Abh\u00e4ngigkeiten, bevor diese ausgenutzt werden k\u00f6nnen, und deckt Lizenzkonflikte<\/strong> auf, die rechtliche Konsequenzen nach sich ziehen k\u00f6nnten. Mit dem EU Cyber Resilience Act und der NIS2-Richtlinie wird SCA zudem zum regulatorischen Muss<\/strong> \u2013 SBOM-Bereitstellung ist keine Option mehr, sondern Pflicht.<\/p>\n
Auch aus rein technischer Sicht \u00fcberzeugt der Einsatz: Verwaiste Pakete, veraltete Major-Versionen und deprecated Dependencies lassen sich systematisch erfassen und abbauen. Die nahtlose Integration in CI\/CD-Pipelines<\/strong> erm\u00f6glicht automatisierte Pr\u00fcfungen bei jedem Commit, w\u00e4hrend standardisierte SBOM-Exporte Kundenanforderungen im B2B-Kontext<\/strong> bedienen.<\/p>\n
Doch all diese Aspekte verblassen neben der vielleicht gravierendsten Bedrohung: Supply Chain Attacks<\/strong>. Hier werden nicht einzelne Schwachstellen ausgenutzt, sondern ganze Pakete kompromittiert \u2013 mit potenziell katastrophalen Kaskadeneffekten \u00fcber tausende Projekte hinweg.<\/p>\n
Die Gefahr der Supply Chain Attacks<\/h2>\n
Software-Lieferketten sind zu einem prim\u00e4ren Angriffsvektor f\u00fcr Cyberkriminelle geworden. Anstatt Endanwendungen direkt anzugreifen, zielen Akteure zunehmend auf die Abh\u00e4ngigkeiten, die Entwickler t\u00e4glich in ihre Projekte integrieren. Ein kompromittiertes Paket kann sich innerhalb von Stunden \u00fcber tausende Downstream-Projekte verbreiten \u2013 oft unbemerkt, bis der Schaden bereits angerichtet ist.<\/p>\n
Was ist eine Supply Chain Attack?<\/h3>\n
Bei der Entwicklung von Software wird h\u00e4ufig bereits existierender Quellcode von Dritten (in Form von Bibliotheken, Frameworks, etc.) genutzt um sich beim Entwickeln nicht auf bereits gel\u00f6ste Probleme zu konzentrieren, sondern sich ganz den spezifischen Anforderungen der neuentwickelten Software zu widmen. Solche eingebundenen Bibliotheken oder Frameworks werden als Abh\u00e4ngigkeiten (engl. Dependencies) zusammengefasst.<\/p>\n
Allerdings greifen h\u00e4ufig auch die Entwickler dieser Abh\u00e4ngigkeiten auf Quellcode von Dritten zur\u00fcck und sind dementsprechend von diesem Quellcode auch wieder abh\u00e4ngig. Im Folgendem werden erste Art von Abh\u00e4ngigkeit direkt<\/strong> und zweite Art als indirekt<\/strong> bezeichnet.<\/p>\n
<\/p>\nDen \u00dcberblick \u00fcber alle Abh\u00e4ngigkeiten einer Software zu behalten ist sehr herausfordernd, insbesondere wenn die Anzahl der indirekten Abh\u00e4ngigkeiten hoch ist, bzw. sogar w\u00e4chst. Diese Abh\u00e4ngigkeiten sind nicht direkt mit den herk\u00f6mmlichen Werkzeugen (z.B. Paketmanagern wie npm) einsehbar. Bei einer Supply Chain Attack wird genau dieses Problem ausgenutzt. Es wird Schadsoftware an einer Stelle in die Abh\u00e4ngigkeiten eingef\u00fchrt. Dies kann zum Beispiel durch die Infizierung eines beliebten Frameworks\/Bibliothek passieren. Es kann aber auch eine neue scheinbar harmlose Bibliothek ver\u00f6ffentlicht werden, welche dann von nichts ahnenden Entwicklern als Abh\u00e4ngigkeit genutzt wird. Die so eingef\u00fchrte Schadsoftware kann dann im schlimmsten Fall willk\u00fcrlich beliebigen Programmcode auf der Maschine eines Entwicklers oder sogar beim Kunden der Software ausf\u00fchren.<\/p>\n
<\/strong><\/p>\nSha1-Hulud: The Second Coming: Eine Supply Chain Attack im NPM-\u00d6kosystem<\/h3>\n
Am 24. November 2025 wurde das npm-\u00d6kosystem von einer der aggressivsten Supply Chain Attacken der letzten Jahre getroffen: Shai-Hulud 2.0 (auch „Sha1-Hulud: The Second Coming“ genannt). Innerhalb weniger Stunden kompromittierte der selbstreplizierende Wurm ~700 npm-Pakete \u00fcber <\/strong>~25.000 GitHub-Repositories <\/strong>hinweg! Zu den initial infizierten Paketen (Patient Zero) geh\u00f6ren popul\u00e4re Bibliotheken\/SDKs wie
posthog-js<\/code>,@ensdomains\/ensjs<\/code> undzapier-platform-core<\/code>.<\/p>\nDie Malware hat Umgebungsvariablen und Konfigurationsdateien in lokalen Entwicklungsumgebungen nach GitHub-PATs, npm-Tokens sowie AWS-, GCP- und Azure-Credentials durchsucht. Diese wurden dann clever \u00fcber \u00f6ffentliche GitHub-Repositories nach dreifacher base64-Kodierung ver\u00f6ffentlicht. Dort konnten sie dann zu einem sp\u00e4teren Zeitpunkt von den Akteuren der Attacke „geerntet“ werden.<\/p>\n
Warum SBOMs Teil der L\u00f6sung sind<\/h3>\n
Gegen Supply Chain Attacks k\u00f6nnen vorrangig robuste Abh\u00e4ngigkeitsverwaltungssysteme mit SBOM-Generierung eingesetzt werden. Diese bieten aus mehreren Perspektiven einen Vorteil im Schutz gegen solche Attacken:<\/p>\n
1. Transparenz<\/strong>: Eine aktuelle Software Bill of Materials macht alle direkten und indirekten (transitiven) Abh\u00e4ngigkeiten sichtbar
\n2. Versionskontrolle<\/strong>: Pinning auf bekannte sichere Versionen verhindert das automatische Einschleusen kompromittierter Updates
\n3. Schnelle Reaktion<\/strong>: Bei Bekanntwerden einer Kompromittierung erm\u00f6glicht die SBOM die sofortige Identifikation betroffener Projekte
\n4. Audit Trail<\/strong>: Die dokumentierte Abh\u00e4ngigkeitskette unterst\u00fctzt forensische Analysen<\/p>\nDie CISA empfiehlt in ihrem Advisory zum Shai-Hulud-Vorfall (betrifft hier sogar schon Version 1 des Wurms vom September 2025)<\/em> explizit die Nutzung von SCA-Tools (Software Composition Analysis) und die Erstellung von SBOMs als pr\u00e4ventive Ma\u00dfnahme.<\/p>\n
Integration<\/h1>\n
Dependency Track besteht im Kern aus einem API-Server. Zus\u00e4tzlich wird ein Frontend mitgeliefert, um die Funktionen des API-Servers zu nutzen und die Einrichtung leicht durchf\u00fchren zu k\u00f6nnen. Aufgrund des API-First-Designs bietet das Werkzeug verschiedene M\u00f6glichkeiten zur Integration in den Softwareentwicklungsablauf.<\/p>\n
Um Dependency Track verwenden zu k\u00f6nnen, gibt es zwei M\u00f6glichkeiten, es aufzusetzen. Zum einen mittels Docker Compose durch eine vorkonfigurierte docker-compose.yaml<\/em> Datei. Damit kann Dependency Track einfach und schnell ausprobiert werden durch die beiden Befehle:<\/p>\n
\n\n# Downloaded die neuste Docker Compose Datei<\/span>\r\ncurl -LO<\/span> https:\/\/dependencytrack.org\/docker-compose.yml\r\n\r\n# Startet den Stack<\/span>\r\ndocker compose up -d<\/span>\r\n<\/code><\/pre>\n<\/div>\n<\/div>\nZum anderen kann es auf einem Kubernetes-Cluster deployed werden. Die Installation kann durch das Dependency-Track-Repository \u00fcber den Paketmanager Helm.sh<\/a> erfolgen. Dabei sollte die Resourcennutzung nicht vernachl\u00e4ssigt werden:<\/p>\n
<\/p>\n
API Server:<\/strong><\/p>\n
![\"\"](\"https:\/\/informatik.htwk-leipzig.de\/seminar\/wp-content\/uploads\/2025\/12\/integrations_dt-300x241.png\")
![\"\"](\"https:\/\/informatik.htwk-leipzig.de\/seminar\/wp-content\/uploads\/2025\/12\/Bildschirmfoto-2025-12-07-um-22.31.57-300x165.png\")
![\"\"](\"https:\/\/informatik.htwk-leipzig.de\/seminar\/wp-content\/uploads\/2025\/12\/Bildschirmfoto-2025-12-07-um-22.34.08-300x178.png\")
![\"\"](\"https:\/\/informatik.htwk-leipzig.de\/seminar\/wp-content\/uploads\/2025\/12\/Bildschirmfoto-2025-12-07-um-22.36.07-300x164.png\")
![\"\"](\"https:\/\/informatik.htwk-leipzig.de\/seminar\/wp-content\/uploads\/2025\/12\/Bildschirmfoto-2025-12-07-um-22.34.45-300x178.png\")
![\"\"](\"https:\/\/informatik.htwk-leipzig.de\/seminar\/wp-content\/uploads\/2025\/12\/DT_Kompositionsanalyse_hell-300x209.png\")
<\/p>\n