Passwort - der Podcast von heise security

Visionen der CISA, Niedergang von XSLT, Makel von NPM

Sep 24, 2025
Die US-Behörde CISA hat große Pläne für das CVE-System, doch es gibt Bedenken bezüglich möglichem Machtmissbrauch. Eine spannende Diskussion dreht sich um den möglichen Ausbau von XSLT in Browsern und die Alternativen zu dieser Technologie. Zudem wird die Gefährdung des NPM-Ökosystems thematisiert, mit Berichten über aufeinanderfolgende Angriffe, die durch unsichere GitHub-Aktionen ausgelöst wurden. Die Hosts zeigen auf, welche Maßnahmen Entwickler ergreifen können, um sich vor solchen Bedrohungen zu schützen.
Ask episode
AI Snips
Chapters
Transcript
Episode notes
INSIGHT

CISA Will Mandat — Machtfragen Bleiben

  • Die CISA beansprucht eine führende, nicht-privatisierte Rolle und will CVE-Daten als Gemeingut erhalten.
  • Es besteht aber das Risiko, dass US-Zentralität als Machtanspruch wahrgenommen wird.
INSIGHT

XSLT Ist Alt, Komplex Und Unsicher

  • XSLT ist historisch mächtig, aber im Web veraltet, komplex und oft schlecht gekapselt in Browsern.
  • Browserhersteller sehen die XSLT-Engines als unnötige Angriffsfläche und möchten sie reduzieren.
INSIGHT

NPMs Abhängigkeits-Dichte Macht Angriffe Effektiv

  • Das NPM-Ökosystem lebt von extrem vielen, teils winzigen Abhängigkeiten und massiven Downloadzahlen.
  • Genau diese Dichte macht Supply-Chain-Angriffe hocheffektiv und schwer überschaubar.
Get the Snipd Podcast app to discover more snips from this episode
Get the app