Neue Sicherheitsansätze zur Absicherung von Python-Bibliotheken durch Chainguard

Sicherheitsoffensive: Chainguard rekonstruiert Python-Bibliotheken zum Schutz vor Malware

Chainguard Libraries for Python bietet einen neuen Ansatz zur Absicherung von Software-Supply-Chains. Anstatt sich auf herkömmliche Repositories zu verlassen, baut Chainguard die Python-Abhängigkeiten von Grund auf neu auf, und zwar innerhalb einer SLSA L2-konformen Infrastruktur. Dieses Vorgehen soll sicherstellen, dass kein Schadcode während des Build- und Distributionsprozesses eingeschleust wird, ein Risiko, das bei traditionellen Bibliotheksquellen oft besteht.

Um dieses Ziel zu erreichen, hat Chainguard bereits fast 10.000 der am häufigsten verwendeten Python-Projekte verarbeitet und plant, die Plattform zum zentralen Anlaufpunkt für sichere Open-Source-Komponenten auszubauen. Die Bedeutung dieses Schrittes wird durch die steigende Popularität von Python unterstrichen, die die Sprache, insbesondere im Bereich der KI und des maschinellen Lernens, zu einem attraktiven Ziel für Supply-Chain-Angriffe macht.

Bisherige Vorfälle mit Malware in bekannten Python-Paketen, wie z.B. Ultralytics und PyTorch TorchTriton, verdeutlichen die Schwachstellen traditioneller Quellen wie dem Python Package Index (PyPI). Diese bieten oft nur minimale Sicherheitsüberprüfungen und keine Garantie für die Integrität des heruntergeladenen Codes im Vergleich zum Original.

Eine weitere Herausforderung stellt die Praxis dar, Shared-System-Bibliotheken direkt in Python-Projekte einzubinden. Dies geschieht zwar oft, um die Kompatibilität zu gewährleisten, kann aber Sicherheitslücken vor Standard-Scannern verbergen und somit ein erhebliches Risiko darstellen.

Chainguard Libraries for Python adressiert diese Problematik, indem es eine Lösung bietet, die die Sicherheit erhöht, ohne die Arbeitsabläufe der Entwickler zu beeinträchtigen. Bislang standen Sicherheitsteams oft vor dem Dilemma, entweder die Sicherheit zu erhöhen und gleichzeitig die Produktivität zu verringern oder umgekehrt.

Kim Lewandowski, Mitgründerin und Chief Product Officer bei Chainguard, betont die Bedeutung der Rekonstruktion jeder einzelnen Komponente einer Bibliothek aus dem Quellcode. Dies ermöglicht es Unternehmen, Malware zu vermeiden, Transparenz über die Softwarekomponenten zu gewinnen und das Risiko versteckter Schwachstellen zu minimieren.

Die Initiative für Python folgt auf die Einführung von Chainguard Libraries for Java und unterstreicht die Strategie des Unternehmens, die Sicherheit von Open-Source-Software in verschiedenen Programmiersprachen zu gewährleisten. Der Kernansatz bleibt dabei gleich: Die Rekonstruktion jeder Abhängigkeit direkt aus dem Quellcode.

Joe Christian, Senior Engineering Manager, Application Security bei Paylocity, und Carsten Skov, Senior DevOps Engineer bei MAN Energy Solutions, begrüßen die Initiative und sehen darin einen wichtigen Schritt zur Verbesserung der Sicherheit ihrer Software-Supply-Chains.

Chainguard Libraries for Python bietet eine konkrete Lösung für die wachsende Herausforderung der Software-Supply-Chain-Sicherheit und trägt dazu bei, die Sicherheit einer weltweit unverzichtbaren Programmiersprache zu stärken.

Bibliographie: - https://www.prnewswire.com/news-releases/introducing-chainguard-libraries-for-python-malware-resistant-dependencies-built-entirely-from-source-302454677.html - https://x.com/Gadget_Ry/status/1922700328526356885 - https://www.developer-tech.com/categories/developer-languages/developer-languages-python/ - https://www.ossdirectory.com/en/newsfeed - https://www.linkedin.com/posts/danlorenc_announcing-chainguard-libraries-for-python-activity-7328429288972599296-J02S - https://betanews.com/2025/05/15/chainguard-launches-malware-resistant-dependencies-for-python/ - https://www.artificialintelligence-news.com/ - https://www.chainguard.dev/libraries - https://thenewstack.io/pythons-security-savior-chainguard-battles-supply-chain-risk/