Secrets Not Included: Lieferkettensicherheit

Diese Woche bei Secrets not Included wird es
unangenehm konkret: Ole und Daniel sprechen über den aktuellen
Supply-Chain-Fall rund um manipulierte Paket-Abhängigkeiten,
gestohlene Tokens und die unbequeme Wahrheit, dass ein simples
npm install reichen kann, damit Credentials verschwinden.


Es geht um bösartige Dependencies, kurzlebige statt langlebiger
Secrets, Update-Retention, SBOMs, interne Paket-Proxies,
signierte Commits und die Frage, wie sicher KI-Agenten in der
Entwicklungsumgebung wirklich sind.


Eine Folge über Software-Lieferketten, unsaubere Prozesse,
menschliche Abkürzungen — und warum Security nicht an einem Tool
hängt, sondern an der Summe sauberer Methoden.


Wenn du Software baust, Deployments verantwortest oder mit Open
Source arbeitest, ist das eine Folge, die du nicht nebenbei hören
solltest.

--
Ole ist Gründer der
Moselwal Digitalagentur und Beschäftigt
sich mit Hyperautomatisierurng (auch mit KI), Sicherheit und
CMS.


Daniel ist Geschäftsführer der
xebro GmbH und sein Schwerpunkt liegt
auf PHP, Symfony, E Commerce, DevOps und AWS.