Der Bericht „Software Supply Chain State of the Union 2025“ zeigt, wie eine Kombination aus Sicherheitslücken, falsch eingestuften CVEs, unzureichender Governance von ML-Modellen und weiteren Schwachstellen das Vertrauen in neu entwickelte Software untergräbt.

JFrog Ltd, das Unternehmen für Liquid Software und Entwickler der JFrog Software Supply Chain Platform, hat seinen neuen „Software Supply Chain State of the Union 2025“ Report veröffentlicht. Er analysiert aktuelle Bedrohungen für die Softwaresicherheit, neu entstehende Risiken im DevOps-Umfeld sowie etablierte und potenziell kritische Schwachstellen im Zeitalter der Künstlichen Intelligenz.

„Viele Organisationen setzen mit Begeisterung auf öffentliche ML-Modelle, um Innovationen voranzutreiben – ein deutliches Zeichen für ihr Engagement, KI für schnelles Wachstum zu nutzen. Doch mehr als ein Drittel verlässt sich weiterhin auf manuelle Prozesse, um den Zugriff auf sichere, genehmigte Modelle zu steuern – was potenzielle Sicherheitslücken zur Folge haben kann“, erklärt Yoav Landman, CTO und Mitbegründer von JFrog. „Diese Entwicklung wird sich weiter beschleunigen. Um im Zeitalter der KI erfolgreich zu sein, sollten Unternehmen ihre Toolchains und Governance-Prozesse durch KI-gestützte Automatisierung modernisieren. Nur so lassen sich Sicherheit und Agilität wahren und das volle Innovationspotenzial ausschöpfen.“

Die Verwaltung und Absicherung der gesamten Software-Lieferkette sind eine zentrale Voraussetzung für die Bereitstellung zuverlässiger Software-Releases. Der Bericht „Software Supply Chain State of the Union 2025“ vereint Erkenntnisse von über 1.400 Entwicklungs- und Sicherheitsexperten aus den USA, Großbritannien, Frankreich, Deutschland, Indien und Israel mit Entwickler-Nutzungsdaten aus dem Umfeld von mehr als 7.000 JFrog-Kunden sowie Analysen des JFrog Security Research Teams zu bekannten Schwachstellen (CVEs). Das Ergebnis zeigt eindrücklich, warum diese Aufgabe angesichts der wachsenden und zunehmend dynamischen Bedrohungslage im KI-Zeitalter eine zentrale Herausforderung für Unternehmen darstellt.

Zu den wichtigsten Ergebnissen des Berichts gehören:

• Vier zentrale Risikofaktoren bedrohen die Software-Lieferkette: Zu den entscheidenden Schwachstellen, die die Integrität und Sicherheit moderner Software-Lieferketten beeinträchtigen, zählen CVEs, bösartige Pakete, die Offenlegung sensibler Informationen sowie Fehlkonfigurationen und menschliche Fehler. So entdeckte das JFrog Security Research Team allein 25.229 offengelegte Secrets und Tokens in öffentlichen Repositories – ein Anstieg von 64 Prozent im Jahresvergleich. Die wachsende Komplexität dieser Bedrohungslage stellt Unternehmen vor große Herausforderungen bei der konsistenten Absicherung ihrer Software-Lieferkette.
• Mit der zunehmenden Verbreitung von KI- und ML-Modellen wächst auch die Bedrohungslage: Allein im Jahr 2024 wurden über eine Million neue Modelle auf Hugging Face veröffentlicht – begleitet von einem 6,5-fachen Anstieg bösartiger Modelle. Dies deutet darauf hin, dass KI- und ML-Modelle verstärkt ins Visier von Cyberkriminellen geraten und sich zu einem bevorzugten Angriffsvektor entwickeln.
• Manuelle Steuerung von ML-Modellen erhöht das Risiko: Die meisten Unternehmen (94 Prozent) verwenden zertifizierte Listen, um die Nutzung von ML-Artefakten zu steuern, jedoch verlässt sich mehr als ein Drittel (37 Prozent) von ihnen auf manuelle Bemühungen, um ihre Listen der genehmigten ML-Modelle zu kuratieren und zu pflegen. Diese übermäßige Abhängigkeit von manueller Validierung schafft Unsicherheit in Bezug auf die Genauigkeit und Konsistenz der Sicherheit von ML-Modellen.

• Begrenzte Sicherheitsscans hinterlassen blinde Flecken: Erschreckenderweise geben nur 43 Prozent der IT-Fachleute an, dass ihre Organisation Sicherheitsscans sowohl auf Code- als auch auf Binärebene durchführt, wodurch viele Organisationen anfällig für Sicherheitsbedrohungen sind, die nur auf Binärebene erkennbar sind. Dies entspricht einem deutlichen Rückgang gegenüber 56 Prozent im Vorjahr – ein deutliches Zeichen dafür, dass viele Teams weiterhin mit erheblichen blinden Flecken kämpfen, wenn es darum geht, Softwarerisiken frühzeitig zu erkennen und zu beheben.
• Die Zahl kritischer Schwachstellen steigt weiter – und ihre Bewertung bleibt oft ungenau: Im Jahr 2024 wurden mehr als 33.000 neue CVEs gemeldet, ein Anstieg von 27 Prozent gegenüber dem Vorjahr. Damit übertrifft das Wachstumstempo sogar den Zuwachs bei neuen Softwarepaketen (24,5 Prozent) – ein besorgniserregender Trend, der die Komplexität für Entwickler- und Sicherheitsteams erhöht und Innovationsprozesse ausbremsen kann. Gleichzeitig zeigt eine Analyse von JFrog Security, dass nur 12 Prozent der von Regierungsbehörden als „kritisch“ (CVSS 9.0–10.0) eingestuften CVEs tatsächlich ausnutzbar waren und ein reales Risiko für Entwickler darstellten.

„Wir haben ein klares Muster bei CVE-Bewertungsstellen identifiziert, die Bewertungen überhöhen und damit unnötige Alarmstimmung in der Branche erzeugen – was Entwickler unter Druck setzt, voreilig Maßnahmen zu ergreifen“, erklärt Shachar Menashe, Vice President Security Research bei JFrog. „Werden DevSecOps-Teams gezwungen, Schwachstellen zu beheben, die sich letztlich als harmlos erweisen, beeinträchtigt das nicht nur ihre täglichen Abläufe, sondern kann auch zu Entwickler-Burnout und folgenschweren Fehlern führen.“