
Securing Your Supply Chain Without Slowing Down Your Dev Team mit Florian Lenz
About this event
Jeden Tag führen Millionen von Entwicklern npm install aus, ohne groß darüber nachzudenken. Es ist reine Routine, quasi "Muscle Memory" beim Programmieren – und genau so dringen Angreifer heute in unsere Systeme ein.
In dieser Session mit Florian Lenz sprechen wir über ein hochaktuelles Thema: Securing Your Supply Chain Without Slowing Down Your Dev Team.
Außerdem werfen wir einen Blick auf den spannenden Praxis-Fall rund um die "Paypal Mail im Shop".
Diese Session ist keine theoretische Warnung. In der jüngsten Vergangenheit hat sich npm von einem Ort gelegentlicher Vorfälle zu einer Plattform entwickelt, auf der Supply Chain Attacks auf dem Tagesplan stehen: S1ngularity (August): Einer der großen Weckrufe. Chalk & Debug (September): Betraf 18 Packages und war in Milliarden von wöchentlichen Downloads involviert. Shai-Hulud: Ein selbstreplizierender Wurm, der Rechner nach Secrets scannt und diese unbemerkt in öffentlichen Repositories veröffentlicht. Security-Forscher sprechen hier längst nicht mehr von einem "Spike" (kurzfristigen Anstieg). Es ist die neue Baseline.
🕵️♂️ Die unsichtbare Gefahr im Lockfile Das Erschreckende an fast all diesen Angriffen: Alles schien in Ordnung zu sein. Die Pipeline blieb grün. Die Tests liefen erfolgreich durch. Die Entwickler hatten keine Ahnung, dass ihre CI-Secrets, Cloud-Credentials und Deployment-Tokens bereits abgegriffen wurden. Viele wissen bis heute nicht, ob genau jetzt eine kompromittierte Version in ihrem Lockfile schlummert.
🛠️ Was dich in diesem Video erwartet: Live-Demo: Wir zeigen exakt, wie ein einziges bösartiges Package lautlos Secrets stiehlt, während für das Dev-Team alles normal erscheint. Analyse: Wir brechen die verschiedenen Angriffsvektoren im Detail herunter. Actionable Playbook: Florian zeigt den Teil, den die meisten Security-Talks auslassen – eine praktische, sofort anwendbare Strategie zur Absicherung einer Azure DevOps Pipeline. Und das Beste: mit existierenden Tools, ohne zusätzliches Budget und ohne den Workflow deines Teams auszubremsen!
Über Florian Lenz:
Florian ist Microsoft MVP und Experte für Cloud-native und Serverless Lösungen in Azure. Er unterstützt Unternehmen dabei, ihre Cloudlandschaften zu optimieren und Architekturen aufzubauen, die nachhaltigen Erfolg garantieren. Dabei vermittelt Florian nicht nur technisches Know-how, sondern begleitet seine Kunden auch strategisch, um langfristige Ziele zu erreichen und innovative Lösungen nahtlos in bestehende Prozesse zu integrieren. Als Berater, Speaker und Autor teilt er sein umfangreiches Wissen über Azure, Cloud Native und Serverless auf Konferenzen.
Links:
Florian's Linkedin: https://www.linkedin.com/in/techworldofflorian/ Florian's Blog: https://www.florian-lenz.io/
Florian auf YouTube: https://www.youtube.com/@FlorianLenz
Source: meetup