Von der Lizenz zur Sicherheit mit ISO/IEC 18974
Was haben die Sicherheitsvorfälle Spring4Shell, OpenSSL Heartbleed oder XZ Utils Backdoor gemeinsam? Alles waren Open-Source-Software Komponenten und mit ihnen entstanden zahlreiche Sicherheitsvorfälle durch manipulierte Software innerhalb der Komponenten. Das sind nur wenige Beispiele, die zeigen, wie anfällig Software-Lieferketten sind. Der Einsatz von Open-Source-Software Komponenten ist heute ein integraler Bestandteil in der Softwareentwicklung.
Mehr lesen
VEX erklärt: Welche Schwachstellen sind wirklich relevant?
Durch den vermehrten Einsatz von Dritt-Software-Komponenten und die steigende Anzahl an täglichen neuen Schwachstellen führt kein Weg mehr an der systematischen Analyse von Schwachstellen vorbei. Wer sich bereits mit den bekannten CVE-Datenbanken beschäftigt hat, weiß, dass die Flut an gefundenen CVEs oft nur bedingt hilfreich ist. Nicht jede gemeldete Schwachstelle stellt tatsächlich ein Risiko dar, oftmals sind diese nicht relevant für das eingesetzte Produkt, die Konfiguration oder den Nutzungskontext. Hier kommt der VEX-Standard (Vulnerability Exploitability eXchange) ins Spiel.
Mehr lesen
Was bedeutet Software Composition Analysis (SCA)?
Durch die vermehrte Nutzung von Open-Source und Third-Party-Komponenten konnten Vorteile wie schnellere Entwicklungszeiten und damit auch die entsprechenden Kosteneinsparungen realisiert werden. Allerdings entstanden natürlich auch entsprechende Risiken im Bereich Informationssicherheit und Compliance. Eine Software Composition Analysis (SCA) hilft, diese Risiken zu identifizieren und zielführend zu reduzieren.
Mehr lesen