"Not a Pentest" Trust-Anker: Supply Chain Security schützt eigene Software-Lieferkette. Keine Angriffswerkzeuge.
OpenClaw Supply Chain Security
Schutz vor kompromittierten Dependencies — SBOM-Generierung, Dependency Pinning, Container-Signierung und Build Provenance für OpenClaw.
📦 SBOM Generierung
# Software Bill of Materials (SBOM) für OpenClaw erstellen # 1. SBOM mit Syft generieren (CycloneDX Format) syft packages dir:. -o cyclonedx-json > sbom.json # 2. SBOM auf Vulnerabilities prüfen (Grype) grype sbom:sbom.json --fail-on critical # 3. npm SBOM (für Node.js) npm sbom --sbom-format cyclonedx > npm-sbom.json # 4. Container SBOM syft ghcr.io/clawguru/openclaw:latest \ -o cyclonedx-json > container-sbom.json # 5. Attestation (Sigstore/Cosign) cosign attest \ --predicate sbom.json \ --type cyclonedx \ ghcr.io/clawguru/openclaw:latest # 6. SBOM Verifikation bei Deployment cosign verify-attestation \ --type cyclonedx \ ghcr.io/clawguru/openclaw:latest
🛡️ Supply Chain Angriffs-Typen
Typosquatting
Beispiel: crpyto statt crypto
✅ Dependency Pinning + Audit
Dependency Confusion
Beispiel: Interner Paketname öffentlich
✅ Private Registry + Scoping
Compromised Package
Beispiel: SolarWinds, XZ Utils
✅ SBOM + Integrity Checks
Malicious Maintainer
Beispiel: event-stream Hack 2018
✅ Minimal Dependencies + Audit
Build System Attack
Beispiel: Kompromittierter CI/CD
✅ Hermetic Builds + Provenance
Subdependency Attack
Beispiel: left-pad, colors.js
✅ Lock Files + Vendoring