Jeden Tag führen Millionen von Entwicklern „npm install“ aus, ohne darüber nachzudenken. Es ist reine Routine. Es geht schnell. So wird moderne Software entwickelt. Und genau so verschaffen sich Angreifer zunehmend Zugang.

Angriffe auf die Software-Lieferkette sind zu einem der effektivsten und am wenigsten beachteten Angriffsvektoren in der Branche geworden. Nicht weil sie besonders ausgeklügelt sind, sondern weil wir unseren gesamten Entwicklungs-Workflow darauf aufgebaut haben, Code zu vertrauen, den wir nicht geschrieben haben, der von Leuten stammt, die wir nie getroffen haben, und der automatisch von Tools installiert wird, die wir kaum konfigurieren.

Diese Session ist keine theoretische Warnung. Es ist eine Live-Demonstration, wie ein einziges bösartiges npm-Paket still und leise Ihre CI-Geheimnisse, Ihre Cloud-Anmeldedaten und Ihre Deployment-Token abzieht, während Ihre Pipeline grün bleibt und niemand etwas bemerkt.

Und dann ist es ein praktischer, sofort umsetzbarer Leitfaden, um das Problem zu beheben.