Pressemitteilung von SignPath GmbH

SignPath von KuppingerCole als "Rising Star" für Software Supply Chain Security ausgezeichnet

---

---

Wien, 22. September 2025 - Software-Lieferketten sind zum bevorzugten Ziel von Cyberkriminellen geworden. Immer häufiger kompromittieren Angreifer Entwicklungs- und Release-Pipelines, um Schadcode über scheinbar legitime Updates direkt in die Unternehmens-IT einzuschleusen. Der Spezialist für Software-Supply-Chain-Sicherheit (SSCS) SignPath setzt dem eine umfassende Verifizierung des gesamten Build-Prozesses entgegen - ein Ansatz, für den KuppingerCole das Unternehmen nun als "Rising Star" im Bereich Software Supply Chain Security eingestuft hat. Insbesondere lobten die Analysten SignPaths "innovative Herangehensweise an Code-Integrität", die Einbettung der Lösung in die CI/CD-Prozesse sowie den anhaltenden Fokus des Core-Teams auf Innovation.

"In Zeiten, in denen Cyberkriminelle zunehmend bereits auf die Entwicklungs-Pipeline einer Software abzielen, reichen klassische Signaturen allein nicht aus, weil sie den Entstehungsprozess nicht verifizieren", erklärt Stefan Wenig, CEO und Gründer von SignPath. "Sie belegen zwar, dass eine Software-Komponente tatsächlich vom jeweiligen Hersteller stammt und anschließend nicht verändert wurde. Doch ob der Entstehungsprozess selbst auf vertrauenswürdige Weise ablief und das Artefakt nicht bereits vor der Signierung manipuliert wurde, lässt sich daran nicht ablesen. Für uns war dies der Ausgangspunkt, einen völlig neuen Ansatz für Software-Integrität zu wählen. Wir prüfen nicht nur die gültige Autorisierung für eine Signierung, sondern beziehen die gesamte CI/CD-Pipeline in den Verifikationsprozess mit ein. Dass uns ein renommiertes Analystenhaus wie KuppingerCole hierfür nun als "Rising Star" auszeichnet, freut uns sehr und ist ein großer Ansporn, den eingeschlagenen Weg weiterzuverfolgen."

Als eine zentrale Stärke des innovativen SignPath-Ansatzes sehen die Analysten unter anderem die Kombination von Pipeline-Verifikation, Policy-Enforcement und Artefaktsignierung in nur einer Lösung. Ebenso heben die Experten die End-to-End-Integrität heraus, die sicherstelle, dass "jede Stufe der Software-Entwicklung verifizierbar und geschützt ist vor unautorisierten Änderungen". Vor dem Hintergrund der Zunahme regulatorischer Anforderungen an Software-Security prognostiziert KuppingerCole, dass "Anbieter wie SignPath wahrscheinlich eine steigende Nachfrage erfahren werden, insbesondere seitens europäischer Unternehmen, für die Software-Souveränität eine Priorität darstellt".

Den Kontext im Blick

SignPaths Lösung DevSec360 kombiniert Advanced Code Signing mit automatisierter Integritätsverifikation entlang der gesamten CI/CD-Pipeline. Dabei schützt SignPath nicht nur die Schlüssel vor direktem und indirektem Missbrauch, sondern verifiziert automatisiert und regelbasiert den Kontext jedes Builds: vom Code-Repository und Development-Branch, aus dem das Artefakt stammt, über die CI-Konfiguration, den Build-Agent und Caching-Strategien bis hin zu Review-Status und genutzten Security-Tools sowie natürlich der Zusammensetzung und der Abhängigkeiten des Artefakts selbst. Nur wenn alle definierten Richtlinien erfüllt sind, wird ein Signierungsvorgang technisch freigegeben. So wird durch Policy-Checks und Pipeline-Integritätsprüfungen unterbunden, dass beispielsweise externe Artefakte in den Build-Prozess eingeschleust und anschließend mit einem legitimen Schlüssel signiert werden.

Weitere Informationen

Details zur zentralen SignPath-Plattform DevSec360 finden sich hier . Der vollständige KuppingerCole-Report "Rising Star SignPath" steht hier zum kostenfreien Download zur Verfügung.

Firmen- & Pressekontakt