LICENSE File, SBOM und Vulnerability Report automatisiert erzeugen
Ein praxisnahes Beispiel für die automatisierte Erstellung von Software Compliance und Sicherheitsdokumentation mit DejaCode. Lerne wie du deinen Softwareentwicklungsprozess anpasst, um LICENSE File, SBOM und Vulnerability Reports zu erstellen.
Mehr lesen
Copyleft verständlich erklärt
Copyleft ist eines der faszinierendsten und gleichzeitig meist missverstandenen Konzepte im Open-Source-Recht. Bei SecuraPoint treffen wir häufig auf Unternehmen, die Copyleft-Lizenzen pauschal ablehnen oder umgekehrt unkritisch einsetzen, ohne die Konsequenzen für ihre proprietäre Software oder SaaS-Angebote zu bedenken. Deshalb möchten wir in diesem Blogartikel einen detaillierten Blick auf die Grundlagen, Hintergründe und die praktische Bedeutung von Copyleft werfen. Außerdem geben wir konkrete Tipps und Beispiele, wie man in Projekten damit umgehen sollte.
Mehr lesen
Open Source Lizenzen im Überblick
Die Welt der Open Source Lizenzen ist vielfältig und komplex. In diesem Beitrag erkläre ich die wichtigsten Lizenztypen, zeige viele konkrete Beispiele aus gängigen Programmiersprachen, gehe auf das oft vergessene Thema Multilicensing ein und beleuchte die oft übersehenen Acknowledgement Requirements. Damit liefert dieser Artikel eine umfassende Orientierung, warum Open Source Compliance so wichtig ist und welche Fallstricke es gibt.
Mehr lesen
Open-Source im Unternehmen: Ein Blick auf den Value Stream
Open-Source ist keine Randerscheinung. Ob Webframework, Datenbank, DevOps-Tooling oder Embedded-Komponente, Open-Source-Software Komponenten sind heute in fast allen Teilen moderner IT-Landschaften zu finden. Doch der Einsatz von Open Source ist weit mehr als nur eine technische Entscheidung. Er berührt Geschäftsmodelle, Rechtsfragen, Sicherheitsanforderungen und zunehmend auch regulatorische Rahmenbedingungen.
Mehr lesen
Syft CLI für die Generierung von Software Bill of Materials (SBOM)
Eine kurze Einführung in die Generierung von Software Bill of Materials (SBOM) mit Hilfe von Syft. Anhand eines Beispielprojekts werden wichtige Aspekte erklärt.
Mehr lesen
Trivy als vielseitiger Open Source Security Scanner
Im folgenden Artikel beschäftigen wir uns mit dem Open Source Security Scanner Trivy. Ich werde zeigen, welche Artefakte mit ihm gescannt und welche Art von Reports erzeugt werden können. Außerdem werde ich anhand eines exemplarischen DevSecOps Prozesses zeigen, wie Trivy darin eingesetzt werden kann.
Mehr lesen
Von der Lizenz zur Sicherheit mit ISO/IEC 18974
Was haben die Sicherheitsvorfälle Spring4Shell, OpenSSL Heartbleed oder XZ Utils Backdoor gemeinsam? Alles waren Open-Source-Software Komponenten und mit ihnen entstanden zahlreiche Sicherheitsvorfälle durch manipulierte Software innerhalb der Komponenten. Das sind nur wenige Beispiele, die zeigen, wie anfällig Software-Lieferketten sind. Der Einsatz von Open-Source-Software Komponenten ist heute ein integraler Bestandteil in der Softwareentwicklung.
Mehr lesen
ISO/IEC 5230 als Grundlage für sicheres Open Source Management
Jeden Tag werden mehr als 20 000 neue Open-Source-Software Komponenten released. Ein Softwareprojekt ohne den Einsatz von Open-Source-Software Komponenten ist in der Realität nicht mehr vorstellbar. Doch mit den vielen Vorteilen kommen natürlich auch Pflichten. Welche Lizenz gilt für welchen Code? Was muss ich mitliefern? Welche Risiken gehe ich ein? Wenn Unternehmen Open Source professionell einsetzen, brauchen sie klare, wiederholbare Prozesse. Genau hier setzt die ISO/IEC 5230 an.
Mehr lesen
VEX erklärt: Welche Schwachstellen sind wirklich relevant?
Durch den vermehrten Einsatz von Dritt-Software-Komponenten und die steigende Anzahl an täglichen neuen Schwachstellen führt kein Weg mehr an der systematischen Analyse von Schwachstellen vorbei. Wer sich bereits mit den bekannten CVE-Datenbanken beschäftigt hat, weiß, dass die Flut an gefundenen CVEs oft nur bedingt hilfreich ist. Nicht jede gemeldete Schwachstelle stellt tatsächlich ein Risiko dar, oftmals sind diese nicht relevant für das eingesetzte Produkt, die Konfiguration oder den Nutzungskontext. Hier kommt der VEX-Standard (Vulnerability Exploitability eXchange) ins Spiel.
Mehr lesen
Cyber Resilience Act: Wie können sich Unternehmen auf die neuen Sicherheitsanforderungen vorbereiten
Die Anzahl an digitalen Produkten ist in den letzten Jahren stark gestiegen. Seien es klassische SaaS Produkte oder vernetzte Geräte im Haushalt oder Industriebereich. Diese digitalen Produkte hatten jedoch häufig ein geringes Cybersicherheitsniveau, was zu teils massiven Angriffen geführt hat. Der Cyber Resilience Act ist die erste europäische Verordnung, welche ein Mindestmaß an Cybersicherheit für alle vernetzten Produkte festlegt, die auf dem EU-Markt erhältlich sind.
Mehr lesen
SBOM und der Cyber Resilience Act
Der Cyber Resilience Act ist die erste europäische Verordnung, die ein Mindestmaß an Cybersicherheit für alle vernetzten Produkte festlegt, die auf dem EU-Markt erhältlich sind. Damit sind nicht nur IoT-Produkte gemeint, sondern auch SaaS-Produkte oder Smartphone Apps. Das bedeutet, dass sich so gut wie alle Softwarehersteller mit dem Thema Cyber Resilience Act beschäftigen müssen. Der Cyber Resilience Act hat verschiedene Anforderungen, unter anderem die Erstellung und Archivierung einer SBOM für das jeweilige Softwareprodukt.
Mehr lesen
Was bedeutet Software Composition Analysis (SCA)?
Durch die vermehrte Nutzung von Open-Source und Third-Party-Komponenten konnten Vorteile wie schnellere Entwicklungszeiten und damit auch die entsprechenden Kosteneinsparungen realisiert werden. Allerdings entstanden natürlich auch entsprechende Risiken im Bereich Informationssicherheit und Compliance. Eine Software Composition Analysis (SCA) hilft, diese Risiken zu identifizieren und zielführend zu reduzieren.
Mehr lesen
SBOM: Die Grundlage für sichere Software-Lieferketten
Beim Lebensmitteleinkauf geht der Blick so gut wie immer auf die entsprechende Produktrückseite, um die Produktzutatenliste zu studieren. Schließlich wollen wir als Verbraucher genau wissen, welche Zutaten sich in unseren Lebensmitteln befinden. In den letzten Jahren und Jahrzehnten haben sich diesbezüglich die Deklarierungspflichten stark verschärft.
Mehr lesen