Preview image for article: Supply Chain Security: Schutz vor Malware 2025

Supply Chain Security: Schutz vor Malware 2025

Avatar von Robin Böhm
· Published on 27.03.2026

TL;DR: GitHub analysiert aktuelle Supply-Chain-Angriffe und liefert einen konkreten Maßnahmenkatalog für 2025. CTOs und Tech Leads erhalten praktische Handlungsempfehlungen zur Härtung von CI/CD-Pipelines, Dependency Management und organisatorischen Prozessen. Die Bedrohungslage in Software-Lieferketten hat sich 2024 dramatisch verschärft. Allein bei GitHub Actions wurden in 70% der untersuchten Open-Source-ML-Projekte kritische Sicherheitslücken in Workflows identifiziert. Konkrete Vorfälle 2024-2025:

  • CVE-2025-30066: Kompromittierung von tj-actions/changed-files (gepatcht in v46.0.1) – eine weit verbreitete Action mit Zugriff auf Repository-Secrets
  • Shai-Hulud Worm: Self-replicating Malware in npm-Packages, führte zu GitHub’s 2FA-Pflicht und 7-Tage Token-Limits
  • 70% Vulnerability Rate: Kritische Schwachstellen in ML-Pipeline-Workflows durch unsichere Secret-Handling GitHub reagiert mit einem umfassenden Security-Framework, das Entwicklungsteams und Führungskräfte gleichermaßen adressiert.

Die wichtigsten Punkte

  • 📅 Verfügbarkeit: Sofort umsetzbare Maßnahmen für bestehende Projekte
  • 🎯 Zielgruppe: CTOs, Tech Leads, DevOps-Teams und Security Engineers
  • 💡 Kernfeature: Pipeline-zentrischer Sicherheitsansatz mit automatisierten Prozessen
  • 🔧 Tech-Stack: GitHub Actions, Dependabot, SBOM-Integration, OSV-Format

Was bedeutet das für Entwicklungsteams und Führungskräfte?

Die Analyse von GitHub zeigt: Supply-Chain-Angriffe entwickeln sich kontinuierlich weiter und erfordern proaktive, pipeline-zentrische Verteidigungsstrategien. Für CTOs bedeutet das eine strategische Neuausrichtung der Security-Budgets und -Policies. Tech Leads müssen konkrete technische Maßnahmen in ihren Teams implementieren. Der Schlüssel liegt in der Balance zwischen Entwicklungsgeschwindigkeit und Sicherheit. GitHub’s Ansatz zeigt, dass beides möglich ist – wenn die richtigen Tools und Prozesse etabliert werden.

Technische Schutzmaßnahmen im Detail

1. CI/CD-Pipeline-Härtung Das Pinning von GitHub Actions auf vollständige Commit-SHAs statt auf Tags oder Branches ist essentiell. Dies verhindert unerwartete Code-Änderungen in kritischen Workflows – ein Schutz, der besonders nach dem CVE-2025-30066 Vorfall (tj-actions/changed-files) kritisch wurde. Praktisches Beispiel - Actions Pinning:

# ❌ UNSICHER: Tag-basiert (kann geändert werden)
- uses: actions/checkout@v4
# ✅ SICHER: SHA-basiert (immutable)
- uses: actions/checkout@b4ffde65f46336ab88eb53be808477a3936bae11 # v4.1.1

Token-Konfiguration mit Least Privilege:

name: Secure CI Pipeline
on: [push]
permissions:
  contents: read      # Minimal: nur lesen
  pull-requests: write # Nur für PR-Kommentare
jobs:
  build:
    runs-on: ubuntu-latest
    steps:
      - uses: actions/checkout@b4ffde65f46336ab88eb53be808477a3936bae11
      - name: Run tests
        run: npm test

Wichtige Maßnahmen:

  • GITHUB_TOKEN mit minimalen Berechtigungen konfigurieren
  • Kurzlebige Tokens mit feingranularen Berechtigungen verwenden (max. 7 Tage Lifetime seit Shai-Hulud Angriff)
  • Pipeline-Based Access Controls (PBAC) implementieren 2. Automatisiertes Vulnerability Management Die Integration von Dependabot und GitHub Security Advisories ermöglicht automatische Absicherung der Dependency Chain. Dependabot-Konfiguration (.github/dependabot.yml): 
    version: 2
updates:
# NPM Dependencies
- package-ecosystem: "npm"
  directory: "/"
  schedule:
    interval: "daily"
  open-pull-requests-limit: 10
  # Automatische Sicherheits-Updates
  allow:
    - dependency-type: "all"
  # Gruppierung verwandter Updates
  groups:
    security-updates:
      patterns:
        - "*"
      update-types:
        - "security"
# GitHub Actions Updates
- package-ecosystem: "github-actions"
  directory: "/"
  schedule:
    interval: "weekly"
  # Commit-Message Prefix für Automation
  commit-message:
    prefix: "chore(deps)"
    include: "scope"
    Automatisierte Security-Checks im Workflow: 
    name: Security Scan
on: [pull_request]
jobs:
security:
  runs-on: ubuntu-latest
  steps:
    - uses: actions/checkout@b4ffde65f46336ab88eb53be808477a3936bae11
    # npm audit für bekannte CVEs
    - name: Run npm audit
      run: |
        npm audit --audit-level=moderate
        npm audit fix --dry-run
    # SBOM-Generierung
    - name: Generate SBOM
      uses: anchore/sbom-action@v0.15.1
      with:
        format: cyclonedx-json
        output-file: sbom.json
    Wichtige Funktionen:
  • Automatische Erkennung von Schwachstellen in Abhängigkeiten
  • Sofortige Alerts bei neuen CVEs (Integration mit GitHub Security Advisories)
  • Automatisierte Pull Requests mit Sicherheits-Updates
  • Integration von OSV-Format (Open Source Vulnerability) für standardisierten Datenaustausch 3. Software Bill of Materials (SBOM) SBOMs werden zur kritischen Komponente der Supply Chain Security. Mit GitHub’s SBOM-Support können Teams automatisch Inventare erstellen. SBOM-Generierung in CI/CD: 
    name: SBOM Generation
on: 
release:
  types: [published]
jobs:
sbom:
  runs-on: ubuntu-latest
  permissions:
    contents: write
  steps:
    - uses: actions/checkout@b4ffde65f46336ab88eb53be808477a3936bae11
    # SBOM mit Syft generieren
    - name: Generate SBOM
      uses: anchore/sbom-action@v0.15.1
      with:
        format: spdx-json
        artifact-name: sbom-spdx.json
    # SBOM zu Release hinzufügen
    - name: Upload SBOM
      uses: actions/upload-release-asset@v1
      env:
        GITHUB_TOKEN: ${{ secrets.GITHUB_TOKEN }}
      with:
        upload_url: ${{ github.event.release.upload_url }}
        asset_path: ./sbom-spdx.json
        asset_name: sbom-${{ github.ref_name }}.json
        asset_content_type: application/json
    SBOM-Validierung bei Dependency-Updates: 
    - name: Compare SBOMs
run: |
  # Diff zwischen alter und neuer SBOM
  syft packages dir:. -o json > new-sbom.json
  curl -L ${{ github.event.before }}/sbom.json > old-sbom.json
  # Neue Packages identifizieren
  jq -s '.[0].artifacts - .[1].artifacts' new-sbom.json old-sbom.json
    Vorteile:
  • Vollständige Transparenz über alle Komponenten und Lizenzen
  • Schnelle Impact-Analysen bei neuen Schwachstellen (z.B. Log4Shell-Szenarien)
  • Compliance-Nachweise für regulatorische Anforderungen (SBOM-Pflicht in US Executive Order 14028)

Organisatorische Implikationen

Für CTOs und IT-Leiter

Supply Chain Security ist kein reines Technik-Thema, sondern ein operatives Risiko mit weitreichenden Folgen. Die Implementierung erfordert: Strategische Prioritäten:

  • Budget-Allokation für Pipeline-Security-Tools
  • Etablierung klarer Security-Policies
  • Definition von Verantwortlichkeiten (RACI-Matrix) Governance-Strukturen:
  • Approval-Prozesse für Third-Party-Code
  • Vetting-Verfahren für externe Actions
  • Kontinuierliches Monitoring der Supply Chain

Für Tech Leads und Team-Verantwortliche

Die operative Umsetzung liegt bei den technischen Führungskräften: Standardisierung:

  • Einheitliche CI/CD-Konfigurationen über alle Teams
  • Template-basierte Workflow-Definitionen
  • Zentrale Security-Baselines Team-Enablement:
  • Security-Trainings für Entwickler
  • Pair-Programming für kritische Workflows
  • Security-Champions in jedem Team

Praktische Umsetzung in der Organisation

Vollständiges Security-Workflow-Beispiel

Hier ein production-ready Workflow, der alle besprochenen Best Practices vereint:

name: Secure Production Pipeline
on:
  push:
    branches: [main]
  pull_request:
    branches: [main]
# Minimale Permissions (Least Privilege)
permissions:
  contents: read
  security-events: write
  pull-requests: write
jobs:
  security-scan:
    runs-on: ubuntu-latest
    steps:
      # SHA-gepinnte Actions
      - name: Checkout Code
        uses: actions/checkout@b4ffde65f46336ab88eb53be808477a3936bae11 # v4.1.1
      # Dependency Audit
      - name: Setup Node.js
        uses: actions/setup-node@60edb5dd545a775178f52524783378180af0d1f8 # v4.0.2
        with:
          node-version: '20'
      - name: Install Dependencies
        run: npm ci --audit
      - name: Run Security Audit
        run: |
          npm audit --audit-level=moderate || exit 1
      # SBOM Generation
      - name: Generate SBOM
        uses: anchore/sbom-action@v0.15.1
        with:
          artifact-name: sbom.spdx.json
          format: spdx-json
      # Vulnerability Scanning
      - name: Run Trivy Scanner
        uses: aquasecurity/trivy-action@84384bd6e777ef152729993b8145ea352e9dd3ef # v0.17.0
        with:
          scan-type: 'fs'
          scan-ref: '.'
          format: 'sarif'
          output: 'trivy-results.sarif'
      # Upload zu GitHub Security Tab
      - name: Upload Security Results
        uses: github/codeql-action/upload-sarif@1b1aada464948af03b950897e5eb522f92603cc2 # v3.24.0
        if: always()
        with:
          sarif_file: 'trivy-results.sarif'
  build:
    needs: security-scan
    runs-on: ubuntu-latest
    permissions:
      contents: read
      packages: write
    steps:
      - uses: actions/checkout@b4ffde65f46336ab88eb53be808477a3936bae11
      - name: Build Application
        run: npm run build
      # Artifact Signing (Provenance)
      - name: Generate Provenance
        uses: actions/attest-build-provenance@v1
        with:
          subject-path: 'dist/**'

Phase 1: Assessment (1-2 Wochen)

  1. Inventarisierung aller CI/CD-Workflows
  2. Identifikation ungepinnter Actions (Tool: actionlint)
  3. Analyse der Token-Berechtigungen
  4. SBOM-Coverage-Analyse

Phase 2: Quick Wins (2-4 Wochen)

  1. Pinning aller GitHub Actions auf Commit-SHAs
  2. Aktivierung von Dependabot auf allen Repositories
  3. Einführung von Repository Security Advisories
  4. Token-Berechtigungen minimieren

Phase 3: Systematische Härtung (1-3 Monate)

  1. SBOM-Integration in Build-Prozesse
  2. Automatisierte Security-Checks in PR-Workflows
  3. Incident-Response-Playbooks erstellen
  4. Monitoring-Dashboard für Supply Chain Metriken

Messbare Erfolgs-Metriken

Für die Erfolgskontrolle sollten Teams folgende KPIs etablieren:

  • Sicherheits-Coverage: Prozent der gepinnten Actions
  • Response-Zeit: Durchschnittliche Zeit bis zum Patch
  • SBOM-Abdeckung: Prozent der Projekte mit aktuellem SBOM
  • Alert-Resolution: Anzahl offener Security-Alerts
  • Training-Teilnahme: Security-Training-Quote im Team

Die Lernkurve meistern

Die Implementierung von Supply Chain Security erfordert neue Skills und Mindsets in Teams: Für Entwickler:

  • Verständnis für Security-Implikationen von Dependencies
  • Kompetenz im Umgang mit Security-Tools
  • Awareness für Supply Chain Risiken Für Führungskräfte:
  • Balancierung von Velocity und Security
  • Risiko-basierte Entscheidungsfindung
  • Cross-funktionale Koordination

Blick in die Zukunft: Trends 2025

Die Entwicklungen zeigen klare Tendenzen:

  1. KI-gestützte Security-Analysen: Automatische Erkennung von Anomalien in Workflows (GitHub Copilot for Security)
  2. Runtime-Security für CI/CD: Echtzeitüberwachung von Runner-Verhalten (StepSecurity Harden-Runner)
  3. Registry-Härtungen: Verstärkte Verifizierung und Quarantäne-Mechanismen
  4. Compliance-Automatisierung: SBOM-basierte Audit-Trails Wichtige Releases und Änderungen 2025:
  • 1. April 2025: GitHub Advanced Security (GHAS) wird in separate Produkte aufgeteilt (Secret Protection & Code Security)
  • September 2025: GitHub mandatiert 2FA und kurze Token-Lifetimes für npm (7-Tage-Limit)
  • Dezember 2025: Trusted Publishing (OIDC) wird Standard für Package-Registries Empfohlene Tool-Versions (Stand Dezember 2024):
  • Node.js: LTS v20.x (aktuelle v20.11.0)
  • npm: v10.x mit integriertem npm audit
  • GitHub Actions: SHA-Pinning statt Tag-basiert
  • Dependabot: Native GitHub-Integration (keine Version erforderlich)
  • Trivy Scanner: v0.48+ für Container & Filesystem Scans
  • Anchore Syft/Grype: v1.0+ für SBOM & Vulnerability Management

Praktische Nächste Schritte

  1. Sofortmaßnahme: Security-Audit der kritischsten CI/CD-Workflows durchführen
  2. Team-Alignment: Workshop zur Supply Chain Security mit allen Stakeholdern
  3. Tool-Evaluation: GitHub Advanced Security oder alternative Lösungen evaluieren
  4. Weiterbildung: Security-Trainings für das gesamte Entwicklungsteam planen

Fazit: Proaktivität als Schlüssel

Supply Chain Security ist keine einmalige Aufgabe, sondern ein kontinuierlicher Prozess. Die von GitHub präsentierten Strategien bieten einen praktikablen Weg, um die Balance zwischen Entwicklungsgeschwindigkeit und Sicherheit zu finden. Für Teams bedeutet das: Jetzt handeln, bevor der nächste große Angriff die eigene Supply Chain trifft. Die Investition in Supply Chain Security zahlt sich mehrfach aus – durch reduzierte Incident-Kosten, höhere Compliance-Bereitschaft und gesteigertes Vertrauen von Kunden und Partnern.

Avatar von Robin Böhm
Written by
Robin Böhm

Hey! Ich bin Robin Böhm – Software-Enthusiast, Berater und Autor mit Leidenschaft für JavaScript, Web und KI. Schon seit Jahren bin ich im KI-Universum unterwegs – erst an der Uni, dann immer wieder mit spannenden Prototypen im Job. Jetzt, wo KI endlich für alle zugänglich ist, brennt mein Herz dafür dieses Wissen Menschen zugänglich zu erklären! Es macht mir Spaß zu zeigen, wie man mit cleveren Agenten-Systemen den Alltag vereinfachen und langweilige Tasks automatisieren kann. Übrigens: Ich habe das erste deutsche Angular-Buch verfasst und bin Mitgründer von Angular.DE sowie Gründer von Workshops.DE. Lust auf Beratung, Coaching oder einen Workshop zu JavaScript, Angular oder KI-Integrationen? Schreib mir einfach! 😊

From knowledge to success.
Start your training now!
View Courses
"The trainers are absolute professionals and convey their enthusiasm for the topic. Our employees benefit from intensive, hands-on trainings tailored to their needs. The feedback has been outstanding."
Annika Stille, Head of Internal Training at adesso SE
Annika Stille
Head of Internal Training, adesso SE