
Sicherung der Open-Source-Lieferkette: Das SBOMinator-Projekt und der CloudFest-Hackathon 2025
Das Open-Source-Software-Ökosystem steht vor immer komplexeren Sicherheitsherausforderungen. Schwachstellen in der Lieferkette werden für WordPress-Website-Betreiber und -Entwickler zu einem kritischen Problem. Der kürzlich stattgefundene CloudFest Hackathon 2025 brachte Sicherheitsexperten zusammen, um gemeinsam an innovativen Lösungen für diese Bedrohungen zu arbeiten. Das Ergebnis war die Entwicklung des vielversprechenden SBOMinator-Projekts. Dieser Bericht untersucht, wie sich diese Entwicklungen auf die WordPress-Sicherheit auswirken und wie Website-Betreiber sich in diesem sich entwickelnden Umfeld schützen können.
Die wachsende Herausforderung der Lieferkettensicherheit
Supply-Chain-Angriffe haben in den letzten Jahren enorm an Aufmerksamkeit gewonnen, wobei zahlreiche spektakuläre Fälle ihr verheerendes Potenzial demonstrieren. Diese Angriffe zielen auf das Vertrauensverhältnis zwischen Softwareanbietern und -nutzern ab, indem sie Entwicklungsinfrastruktur, Vertriebskanäle oder Abhängigkeiten von Drittanbietern kompromittieren. Für WordPress-Nutzer ist das Risiko besonders akut, da die umfangreiche Nutzung von Plugins und Themes im Ökosystem zahlreiche potenzielle Angriffspunkte für Angreifer schafft[2].
Auch das WordPress-Ökosystem ist vor solchen Angriffen nicht gefeit. Im Jahr 2024 kompromittierten Angreifer Entwicklerkonten auf WordPress.org und konnten so über regelmäßige Updates Schadcode in Plugins einschleusen. Dieser Angriffsvektor war besonders gefährlich, da viele Websites automatische Updates aktiviert hatten, wodurch sich kompromittierter Code schnell über Tausende von Websites verbreiten konnte[9]. Diese Vorfälle unterstreichen den dringenden Bedarf an verbesserten Sicherheitsmaßnahmen in der Lieferkette innerhalb der WordPress-Community.
Der CloudFest Hackathon 2025: Förderung von Open Source-Innovationen
Der CloudFest Hackathon, der vom 15. bis 17. März 2025 im Europa-Park in Deutschland stattfand, hat sich seit seiner Einführung deutlich weiterentwickelt. Unter der Leitung von Carole Olinger, die 2018 die Leitung des CloudFest Hackathons übernahm, entwickelte sich die Veranstaltung von einem unternehmensgesponserten Coding-Sprint zu einem vollständig Open-Source- und Community-orientierten Treffen, das sich auf den Nutzen für das gesamte Web-Ökosystem konzentriert[8].
Der Hackathon 2025 legte Wert auf Inklusivität und fachübergreifende Zusammenarbeit. Er erkannte, dass effektive Sicherheitslösungen nicht nur den Input von Entwicklern, sondern auch von Designern, Projektmanagern und anderen Spezialisten erfordern[8]. Dieser kollaborative Ansatz erwies sich als besonders wertvoll für die Bewältigung komplexer Herausforderungen wie der Lieferkettensicherheit, die vielschichtige Lösungen erfordert.
Unter den verschiedenen Projekten, die während des Hackathons durchgeführt wurden, stach eine Initiative aufgrund ihrer potenziellen Auswirkungen auf die Open-Source-Sicherheit hervor: das SBOMinator-Projekt, dessen Ziel darin besteht, die Transparenz und Sicherheit in Software-Lieferketten zu verbessern[1].
Das SBOMinator-Projekt: Verbesserung der Transparenz in der Lieferkette
Das SBOMinator-Projekt entstand als Reaktion auf zunehmende Sicherheitsbedrohungen und regulatorische Anforderungen an die Transparenz der Software-Lieferkette. Im Kern befasst sich das Projekt mit einer grundlegenden Herausforderung: der effektiven Dokumentation und Verwaltung des komplexen Abhängigkeitsgeflechts moderner Softwareanwendungen[1].
Was ist eine SBOM?
Zentrales Element des SBOMinator-Projekts ist das Konzept einer Software Bill of Materials (SBOM). Eine SBOM ist im Wesentlichen ein Abhängigkeitsbaum, der alle in einer bestimmten Anwendung verwendeten Bibliotheken und deren Versionen auflistet. Man kann sie sich als eine Zutatenliste für Software vorstellen, die Transparenz darüber bietet, welche Komponenten in einer bestimmten Anwendung enthalten sind[1].
Diese Transparenz ist für die Sicherheit von entscheidender Bedeutung, da sie Entwicklern und Benutzern Folgendes ermöglicht:
- Identifizieren Sie anfällige Komponenten, die aktualisiert werden müssen
- Bewerten Sie die Sicherheitslage Ihrer Software-Lieferkette
- Reagieren Sie schnell, wenn Schwachstellen in Abhängigkeiten entdeckt werden
- Erfüllen Sie neue gesetzliche Anforderungen
Der technische Ansatz des SBOMinator
Das Team hinter SBOMinator hat einen zweigleisigen Ansatz zur Erstellung umfassender SBOMs entwickelt:
- Infrastrukturbasierte Abhängigkeitssammlung: Das Tool sammelt Informationen aus Paketverwaltungsdateien wie
composer.json
oderPaket.json
, indem alle derartigen Dateien innerhalb einer Anwendung untersucht und die Ergebnisse zusammengeführt werden[1]. - Statische Codeanalyse (SCA): Für Codebereiche, die keine Paketmanager verwenden, verwendet SBOMinator eine statische Analyse, um Bibliothekseinschlüsse direkt im Code zu identifizieren. Dieser Brute-Force-Ansatz stellt sicher, dass nichts übersehen wird[1].
Die Ausgabe folgt standardisierten SBOM-Schemata: entweder SPDX (unterstützt von der Linux Foundation) oder CycloneDX (unterstützt von der OWASP Foundation), wodurch die Kompatibilität mit vorhandenen Sicherheitstools und -prozessen sichergestellt wird[1].
Um das Tool allgemein zugänglich zu machen, entwickelte das Team Integrationen für mehrere Content-Management-Systeme:
- Ein WordPress-Plugin, das eine Verbindung zu „Site Health“ und WP-CLI herstellt
- Eine TYPO3-Admin-Erweiterung
- Ein Laravel Artisan-Befehl[1]
Die WordPress-Sicherheitslückenlandschaft im Jahr 2025
Die Notwendigkeit einer verbesserten Lieferkettensicherheit wird durch den aktuellen Stand der WordPress-Sicherheit unterstrichen. Laut Patchstacks Bericht „State of WordPress Security“ entdeckten Sicherheitsforscher im Jahr 2024 7.966 neue Schwachstellen im WordPress-Ökosystem – durchschnittlich 22 Schwachstellen pro Tag[4].
Von diesen Schwachstellen:
- 11.6% erhielt einen hohen Patchstack-Prioritätswert, was darauf hinweist, dass die Malware entweder bekanntermaßen oder mit hoher Wahrscheinlichkeit ausgenutzt wird.
- 18.8% erhielt eine mittlere Punktzahl, was darauf hindeutet, dass sie Ziel gezielterer Angriffe sein könnten
- 69.6% wurden mit niedriger Priorität bewertet, stellen aber dennoch potenzielle Sicherheitsrisiken dar[4]
Plugins sind nach wie vor die größte Schwachstelle in der WordPress-Sicherheitslandschaft und machen 961.000.000 aller gemeldeten Probleme aus. Besonders besorgniserregend ist, dass für 431.000.000 dieser Schwachstellen keine Authentifizierung erforderlich war, wodurch Websites besonders anfällig für automatisierte Angriffe sind[4].
Der Bericht widerlegt zudem ein weit verbreitetes Missverständnis: Popularität bedeutet nicht automatisch Sicherheit. Im Jahr 2024 wurden 1.018 Schwachstellen in Komponenten mit mindestens 100.000 Installationen gefunden, von denen 153 die Prioritätsstufe „Hoch“ oder „Mittel“ erhielten. Dies zeigt, dass selbst weit verbreitete Plugins schwerwiegende Sicherheitslücken aufweisen können[4].
Regulatorische Treiber für mehr Sicherheit in der Lieferkette
Der Cyber Resilience Act (CRA) der Europäischen Union, der Anfang 2025 in Kraft trat, stellt einen bedeutenden regulatorischen Impuls für mehr Softwaresicherheit dar. Als erste europäische Verordnung, die Mindestanforderungen an die Cybersicherheit vernetzter Produkte auf dem EU-Markt festlegt, hat der CRA weitreichende Auswirkungen auf WordPress-Entwickler und Website-Betreiber[3].
Die Verordnung gilt für alle Produkte mit „digitalen Elementen“, also sowohl Hardware mit vernetzten Funktionen als auch reine Softwareprodukte. Während nicht-kommerzielle Open-Source-Software ausgenommen ist, fallen kommerzielle WordPress-Themes, Plugins und Dienste in ihren Geltungsbereich[3].
Zu den wichtigsten Anforderungen des CRA gehören:
- Sicherstellung des Zugriffs auf Sicherheitsupdates
- Aufrechterhaltung separater Kanäle für Sicherheits- und Funktionsupdates
- Implementierung von Programmen zur Offenlegung von Schwachstellen
- Transparenz durch Software Bill of Materials (SBOM)[1]
Neu auf den Markt gebrachte Produkte müssen bis Ende 2027 alle Anforderungen erfüllen. Entwicklern bleibt daher nur ein begrenztes Zeitfenster, um die Konformität zu erreichen[3]. Dieser regulatorische Druck, verbunden mit zunehmenden Sicherheitsbedrohungen, ist ein zwingendes Argument für eine proaktive Steuerung der Lieferkettensicherheit.
Die Grenzen aktueller Sicherheitsansätze
Herkömmliche Sicherheitsansätze reichen zunehmend nicht mehr aus, um vor modernen Angriffen auf die Lieferkette zu schützen. Der Patchstack-Bericht verdeutlicht eine beunruhigende Realität: Alle gängigen WAF-Lösungen (Web Application Firewall) von Hosting-Unternehmen konnten Angriffe auf eine kritische Schwachstelle im Bricks Builder-Plugin nicht verhindern[4].
Dieses Versagen ist auf grundlegende Einschränkungen zurückzuführen:
- Firewalls auf Netzwerkebene (wie Cloudflare) bieten keinen Einblick in WordPress-Anwendungskomponenten und -Sitzungen.
- WAF-Lösungen auf Serverebene (wie ModSec) können nicht in WordPress-Sitzungen einsehen, was zu hohen Falsch-Positiv-Raten führt
- Die meisten Lösungen basieren auf generischen, musterbasierten Regelsätzen, die nicht für WordPress-spezifische Bedrohungen optimiert sind[4]
Am beunruhigendsten ist vielleicht die Tatsache, dass für 33% der gemeldeten Sicherheitslücken zum Zeitpunkt ihrer Veröffentlichung keine offiziellen Patches verfügbar waren. Dadurch bleiben viele Websites auch dann anfällig, wenn die Administratoren versuchen, auf dem neuesten Stand zu bleiben[4].
Tools und Techniken zur Sicherung der WordPress-Lieferkette
Um diese Herausforderungen zu bewältigen, benötigen WordPress-Entwickler und Websitebesitzer einen mehrschichtigen Sicherheitsansatz:
1. Implementierung einer Software-Stückliste (SBOM)
Das SBOMinator-Projekt macht die SBOM-Generierung für WordPress-Entwickler zugänglich und bietet wichtige Einblicke in die Komponenten von Plugins und Themes. Diese Transparenz ist der erste Schritt zu effektiver Lieferkettensicherheit und ermöglicht eine bessere Risikobewertung und ein besseres Schwachstellenmanagement[1].
2. Einführung spezialisierter Sicherheitslösungen
Anwendungsorientierte Sicherheitslösungen wie das virtuelle Patching-System Patchstack bieten Schutz vor bekannten Schwachstellen, selbst wenn keine offiziellen Patches verfügbar sind. Im Gegensatz zu generischen WAFs können diese WordPress-spezifischen Lösungen Angriffsversuche präzise erkennen und blockieren, ohne dass es zu Fehlalarmen kommt[4].
3. Regelmäßiges Auditing und Monitoring
Die systematische Überprüfung installierter Plugins und Themes, die Überwachung verdächtiger Aktivitäten und die Implementierung von Protokollen sind wesentliche Maßnahmen zur frühzeitigen Erkennung potenzieller Sicherheitsverletzungen. Dies ist insbesondere angesichts der zunehmenden Anzahl von Supply-Chain-Angriffen auf WordPress-Komponenten wichtig[2].
4. Nehmen Sie an Community-Sicherheitsinitiativen teil
Die WordPress-Sicherheits-Community, darunter Organisationen wie das WordPress Security Team unter der Leitung von John Blackbourn, spielt eine wichtige Rolle bei der Identifizierung und Behebung von Schwachstellen. Durch die Teilnahme an diesen Initiativen bleiben Websites über neue Bedrohungen informiert[14].
Die Zukunft der WordPress-Lieferkettensicherheit
Mit Blick auf die Zukunft werden mehrere Trends die Entwicklung der WordPress-Lieferkettensicherheit prägen:
Der Anstieg KI-gestützter Angriffe
Sicherheitsexperten prognostizieren, dass KI-Tools die Ausnutzung von Schwachstellen beschleunigen werden, da sie die Entwicklung von Angriffsskripten und fortschrittlicherer Schadsoftware ermöglichen. Dies könnte selbst Schwachstellen mit niedriger Priorität zu attraktiven Zielen machen, da die Kosten der Ausnutzung sinken[4].
Zunehmender Regulierungsdruck
Mit dem Inkrafttreten des EU Cyber Resilience Act und ähnlicher Verordnungen werden WordPress-Entwickler zunehmend unter Druck stehen, ihre Sicherheitspraktiken zu formalisieren. Dieses regulatorische Umfeld könnte die Einführung von Tools wie SBOMinator fördern, die die Einhaltung der Vorschriften erleichtern[3].
Von der Community getragene Sicherheitsinitiativen
Der beim CloudFest Hackathon demonstrierte kollaborative Ansatz zeigt beispielhaft, wie die Open-Source-Community gemeinsam Sicherheitsherausforderungen bewältigen kann. Zukünftige Initiativen werden voraussichtlich auf dieser Grundlage aufbauen und robustere Tools und Frameworks für die Lieferkettensicherheit schaffen[8].
Fazit: Aufbau eines sichereren WordPress-Ökosystems
Das SBOMinator-Projekt und der CloudFest Hackathon 2025 stellen wichtige Schritte zur Bewältigung der komplexen Herausforderungen der Lieferkettensicherheit im WordPress-Ökosystem dar. Durch mehr Transparenz, Standardisierung von Sicherheitspraktiken und Förderung der Community-Zusammenarbeit tragen diese Initiativen zu einer sichereren Grundlage für WordPress-Websites weltweit bei.
Für WordPress-Website-Betreiber ist die Botschaft klar: Traditionelle Sicherheitsmaßnahmen reichen nicht mehr aus. Der Schutz vor Supply-Chain-Angriffen erfordert einen umfassenden Ansatz, der Einblick in Softwarekomponenten, spezialisierte Sicherheitslösungen und die Teilnahme an der breiteren WordPress-Sicherheits-Community umfasst.
Mit dem Inkrafttreten regulatorischer Anforderungen wie dem EU Cyber Resilience Act wird die proaktive Bewältigung dieser Sicherheitsherausforderungen nicht nur zu einer bewährten Methode, sondern zu einer geschäftlichen Notwendigkeit. Der kollaborative Charakter der WordPress-Community bleibt eine ihrer größten Stärken im Umgang mit diesen sich entwickelnden Bedrohungen.
Für sofortigen Schutz vor Schwachstellen in der Lieferkette und anderen WordPress-Sicherheitsbedrohungen empfiehlt sich die Implementierung der umfassenden Sicherheitslösung von WP-Firewall. Mit Funktionen zur Erkennung und Blockierung von Angriffsversuchen bietet WP-Firewall grundlegenden Schutz, während das gesamte Ökosystem an sichereren Lieferketten arbeitet.
Besuchen https://wp-firewall.com um mehr darüber zu erfahren, wie Sie Ihre WordPress-Site vor den heutigen fortschrittlichen Sicherheitsbedrohungen schützen können, und melden Sie sich für unseren Newsletter an, um über die neuesten Entwicklungen und Schutzstrategien im Bereich WordPress-Sicherheit auf dem Laufenden zu bleiben.