Diese Woche bei Secrets not Included wird es unangenehm konkret: Ole und Daniel sprechen über den aktuellen Supply-Chain-Fall rund um manipulierte Paket-Abhängigkeiten, gestohlene Tokens und die unbequeme Wahrheit, dass ein simples npm install reichen kann, damit Credentials verschwinden. Es geht um bösartige Dependencies, kurzlebige statt langlebiger Secrets, Update-Retention, SBOMs, interne Paket-Proxies, signierte Commits und die Frage, wie sicher KI-Agenten in der Entwicklungsumgebung wirklich sind. Eine Folge über Software-Lieferketten, unsaubere Prozesse, menschliche Abkürzungen — und warum Security nicht an einem Tool hängt, sondern an der Summe sauberer Methoden. Wenn du Software baust, Deployments verantwortest oder mit Open Source arbeitest, ist das eine Folge, die du nicht nebenbei hören solltest. -- Ole ist Gründer der Moselwal Digitalagentur und Beschäftigt sich mit Hyperautomatisierurng (auch mit KI), Sicherheit und CMS. Daniel ist Geschäftsführer der xebro GmbH und sein Schwerpunkt liegt auf PHP, Symfony, E Commerce, DevOps und AWS.