Schadcode in Open-Source-Paketen läuft mit denselben Rechten wie le­gi­ti­mer Code, wird automatisch verteilt und bleibt dabei oft monatelang un­ent­deckt. Ein einziges kompromittiertes Paket kann tausende Unternehmen gleichzeitig treffen. Klassische IT-Security zielt auf Netzwerke und Betriebs­sys­te­me, doch die Software-Lieferkette bleibt der blinde Fleck.