Schnellere Release-Zyklen erfordern automatisierte Verifikation der gesamten Entwicklungs-Pipeline
Wien, 7. Oktober 2025 – Warum mühevoll selbst einen Weg in die IT-Systeme potenzieller Opfer finden, wenn auch ein kompromittiertes Update die Infektion übernehmen kann? In Zeiten, in denen Cyberkriminelle und staatliche Akteure nach immer neuen Angriffsvektoren suchen, gewinnt die Absicherung der Software Supply Chain stark an Bedeutung. Um im Kontext immer schnellerer Release-Zyklen eine Kompromittierung zu verhindern, müssen Prüfmechanismen in allen Stufen vom Entwicklungsprozess bis zur Software-Installation verankert sein. Wie Unternehmen hierfür die Basis schaffen können, zeigt der Spezialist für Software-Supply-Chain-Sicherheit (SSCS) SignPath auf der diesjährigen it-sa am Doppelstand der NTT in Halle 9, Nummer 428 & 528.
„Die Schlagzahl, mit der immer neue Releases oder Updates auf den Markt gebracht werden, steigt stetig an – nicht zuletzt, da Entwicklungsprozesse immer stärker durch KI beschleunigt werden“, erklärt Stefan Wenig, CEO und Gründer von SignPath. „Angesichts der steigenden Bedrohungslage darf dies keinesfalls zulasten der Sicherheit gehen. Um eine lückenlose Integrität der gesamten Supply Chain sicherzustellen, gilt es, die Durchsetzung von Policies technisch zu erzwingen. Das beginnt beim Entwicklungsprozess und muss bis zur Installation auf Endgeräten, Servern sowie in der Cloud automatisiert und integriert sein. So vermeiden Unternehmen, dass wichtige Prüfschritte versäumt werden oder in der Entwicklung gewonnene Zeit durch manuelle Prüfungen wieder verloren geht.“
Supply-Chain-Sicherheit nativ integriert
Die Plattform DevSec360 von SignPath ermöglicht Unternehmen die zentralisierte Umsetzung und Steuerung solcher Prozesse. Wie dies in der Praxis funktioniert, präsentiert der Spezialist für Software Supply Chain Security auf der diesjährigen it-sa.
Zur Sicherstellung der Software-Integrität entlang der gesamten CI/CD-Pipeline verifiziert die Lösung automatisiert und regelbasiert den Kontext jedes Builds: Vom Code-Repository über die CI-Konfiguration, den Build-Agent bis hin zu den genutzten Security-Tools sowie der Zusammensetzung und der Abhängigkeiten des Programms selbst. Nur wenn alle definierten Richtlinien erfüllt sind, wird ein Signierungsvorgang technisch freigegeben. Diese Signaturen erlauben wiederum eine einfache Steuerung von Rollouts und Updates auf Endgeräten und Serverumgebungen – auf allen Plattformen.
Sicherheit vor Supply-Chain-Attacken und Compliance
Die Schlüssel selbst sind durch dedizierte Hardware und Prozessabsicherungen vor direktem und indirektem Missbrauch geschützt. Cyber-Angriffe auf und durch die Software Supply Chain werden so auf mehreren Ebenen unterbunden: von der Unterwanderung des Entwicklungsprozesses bis zum Missbrauch von Schlüsselmaterial. So werden Sicherheit und Integrität ein integrierter Teil des gesamten Prozesses und für Compliance lässt sich auf einfache Weise sorgen – unabhängig von der Geschwindigkeit der Entwicklungsprozesse und der Anzahl der Releases.
SignPath auf der it-sa 2025
Weitere Details zu SignPaths integriertem Ansatz zur Sicherstellung einer höchstmöglichen Supply Chain Security erhalten interessierte Fachbesucher vom 7. bis 9. Oktober auf der it-sa 2025 in Nürnberg. In Halle 9 am Doppelstand der NTT (Nr. 428 & 528) stehen die SignPath-Experten für Fragen und Gespräche zur Verfügung.
SignPath ist ein europäischer Anbieter für Software-Supply-Chain-Sicherheit mit Sitz in Wien. Die Plattform DevSec360 etabliert einen Zero-Trust-Ansatz für die Softwareentwicklung, der über klassische Code-Signing-Lösungen hinausgeht. Durch die vollständige Verifizierung aller sicherheitsrelevanten Build-Informationen wird der Signaturprozess zu einem technisch erzwungenen Release-Gate – und ermöglicht damit eine konsistente Durchsetzung von Richtlinien direkt innerhalb der CI/CD-Pipeline. DevSec360 kombiniert zentrales, artefaktbasiertes Signieren mit automatisierter Verifikation von Source Code Origin, Review-Status, Build-Kontext und Policy-Compliance. Es werden ausschließlich verifizierte, autorisierte und vollständig nachvollziehbare Releases signiert. Die Integration ist CI/CD-nativ und beeinträchtigt bestehende Entwicklungsprozesse nicht. Zu den Kunden gehören unter anderem SolarWinds, Bosch, Dräger, Hitachi Energy und Airbus.
Firmenkontakt
SignPath GmbH
Kai Bulau
Gonzagagasse 11/23
AT-1010 Wien
+49 821/444800
http://www.signpath.com
Pressekontakt
Phronesis PR GmbH
Nadine Mörz
Alfred-Nobel-Straße 9
86156 Augsburg
0821/444800
http://www.phronesis.de
