Blog Beiträge
- Home /
- Blog Beiträge
Trivy als vielseitiger Open Source Security Scanner
Im folgenden Artikel beschäftigen wir uns mit dem Open Source Security Scanner Trivy. Ich werde zeigen, welche Artefakte mit ihm gescannt und welche Art von Reports erzeugt werden können. Außerdem werde ich anhand eines exemplarischen DevSecOps Prozesses zeigen, wie Trivy darin eingesetzt werden kann.
Mehr lesen
Wie ISO 27001 und Open Source Standards gemeinsam Sicherheit und Compliance stärken
Open Source Software ist längst kein Nischenthema mehr, sondern fundamentaler Bestandteil moderner IT-Architekturen. Kaum ein Softwareprojekt wird heute ohne den Einsatz von Open Source Software durchgeführt. Gleichzeitig steigt der regulatorische Druck auf Unternehmen, ihre Informationssicherheit systematisch und nachvollziehbar zu managen. Wie beispielsweise durch ein zertifiziertes Informationssicherheits-Managementsystem (ISMS) nach der ISO/IEC 27001.
Mehr lesen
Von der Lizenz zur Sicherheit mit ISO/IEC 18974
Was haben die Sicherheitsvorfälle Spring4Shell, OpenSSL Heartbleed oder XZ Utils Backdoor gemeinsam? Alles waren Open-Source-Software Komponenten und mit ihnen entstanden zahlreiche Sicherheitsvorfälle durch manipulierte Software innerhalb der Komponenten. Das sind nur wenige Beispiele, die zeigen, wie anfällig Software-Lieferketten sind. Der Einsatz von Open-Source-Software Komponenten ist heute ein integraler Bestandteil in der Softwareentwicklung.
Mehr lesen
ISO/IEC 5230 als Grundlage für sicheres Open Source Management
Jeden Tag werden mehr als 20 000 neue Open-Source-Software Komponenten released. Ein Softwareprojekt ohne den Einsatz von Open-Source-Software Komponenten ist in der Realität nicht mehr vorstellbar. Doch mit den vielen Vorteilen kommen natürlich auch Pflichten. Welche Lizenz gilt für welchen Code? Was muss ich mitliefern? Welche Risiken gehe ich ein? Wenn Unternehmen Open Source professionell einsetzen, brauchen sie klare, wiederholbare Prozesse. Genau hier setzt die ISO/IEC 5230 an.
Mehr lesen
VEX erklärt: Welche Schwachstellen sind wirklich relevant?
Durch den vermehrten Einsatz von Dritt-Software-Komponenten und die steigende Anzahl an täglichen neuen Schwachstellen führt kein Weg mehr an der systematischen Analyse von Schwachstellen vorbei. Wer sich bereits mit den bekannten CVE-Datenbanken beschäftigt hat, weiß, dass die Flut an gefundenen CVEs oft nur bedingt hilfreich ist. Nicht jede gemeldete Schwachstelle stellt tatsächlich ein Risiko dar, oftmals sind diese nicht relevant für das eingesetzte Produkt, die Konfiguration oder den Nutzungskontext. Hier kommt der VEX-Standard (Vulnerability Exploitability eXchange) ins Spiel.
Mehr lesen
Cyber Resilience Act: Wie können sich Unternehmen auf die neuen Sicherheitsanforderungen vorbereiten
Die Anzahl an digitalen Produkten ist in den letzten Jahren stark gestiegen. Seien es klassische SaaS Produkte oder vernetzte Geräte im Haushalt oder Industriebereich. Diese digitalen Produkte hatten jedoch häufig ein geringes Cybersicherheitsniveau, was zu teils massiven Angriffen geführt hat. Der Cyber Resilience Act ist die erste europäische Verordnung, welche ein Mindestmaß an Cybersicherheit für alle vernetzten Produkte festlegt, die auf dem EU-Markt erhältlich sind.
Mehr lesen
SBOM und der Cyber Resilience Act
Der Cyber Resilience Act ist die erste europäische Verordnung, die ein Mindestmaß an Cybersicherheit für alle vernetzten Produkte festlegt, die auf dem EU-Markt erhältlich sind. Damit sind nicht nur IoT-Produkte gemeint, sondern auch SaaS-Produkte oder Smartphone Apps. Das bedeutet, dass sich so gut wie alle Softwarehersteller mit dem Thema Cyber Resilience Act beschäftigen müssen. Der Cyber Resilience Act hat verschiedene Anforderungen, unter anderem die Erstellung und Archivierung einer SBOM für das jeweilige Softwareprodukt.
Mehr lesen
Was bedeutet Software Composition Analysis (SCA)?
Durch die vermehrte Nutzung von Open-Source und Third-Party-Komponenten konnten Vorteile wie schnellere Entwicklungszeiten und damit auch die entsprechenden Kosteneinsparungen realisiert werden. Allerdings entstanden natürlich auch entsprechende Risiken im Bereich Informationssicherheit und Compliance. Eine Software Composition Analysis (SCA) hilft, diese Risiken zu identifizieren und zielführend zu reduzieren.
Mehr lesen
SBOM: Die Grundlage für sichere Software-Lieferketten
Beim Lebensmitteleinkauf geht der Blick so gut wie immer auf die entsprechende Produktrückseite, um die Produktzutatenliste zu studieren. Schließlich wollen wir als Verbraucher genau wissen, welche Zutaten sich in unseren Lebensmitteln befinden. In den letzten Jahren und Jahrzehnten haben sich diesbezüglich die Deklarierungspflichten stark verschärft.
Mehr lesen