:quality(80)/p7i.vogel.de/wcms/58/a9/58a99f4fba2171dc85f3544414c5ec0c/0115493278.jpeg "Blick auf die Umgebung des Industrial-Edge-Marktplatz von Siemens. Diese Plattform ist nun die Basis, von der man ab jetzt auch die Funktionen von IoT Sitewise Edge von Amazon Web Services (AWS) nutzen kann. Erfahren Sie hier, welche Vorteile das für Anwender hat ... (Bild: Siemens)")
:quality(80)/p7i.vogel.de/wcms/05/48/05487482c0f079fe15af84683717c14b/0115489579.jpeg "Dieser Schreitbagger hat es in sich. Denn er greift und scannt jeden Steinbrocken, um ihn an die richtige Stelle zu setzen, wobei nach und nach eine zig Meter lange und sechs Meter hohe Trockenbaumauer entsteht. Forscher aus Zürich haben ihn nämlich „intelligent“ gemacht. (Bild: Eberhard AG / M. Schneider)")
:quality(80)/p7i.vogel.de/wcms/3e/16/3e16af38de3a62f12a7be370407bbac1/0115525732.jpeg "Die Cyber-Security-Anforderungen wachsen. Bei Hilscher begegnet man dem mit der neuen Net-X-Familie, die zunächst aus zwei Chips bestehen wird – dem Net-X 902 und Net-X 912. Damit sei man bereits gut für die Herausforderungen der Zukunft gerüstet. (Bild: Hilscher)")
:quality(80)/p7i.vogel.de/wcms/35/5b/355b50764dc881f744102b9e9aa4fda7/0114414633.jpeg "Dank der fehlenden Abhängigkeit von der Hardware erleichtert und beschleunigt SDS die Adaption neuer Technologien. (Bild: spainter_vfx - stock.adobe.com/ Western Digital Corporation)")
:quality(80)/p7i.vogel.de/wcms/39/28/3928479c781fd094dd193f7bf17d5661/0115596513.jpeg "Benedikt Hofmann, Chefredakteur der Medienmarken Blechnet, ETMM, Industry of Things, MM Logistik und MM Maschinenmarkt. (Bild: VCG)")
:quality(80)/p7i.vogel.de/wcms/b4/a3/b4a3906e00fdab4ea3002425811e7f91/0115464434.jpeg "Im UniMelt-Prozess wird gebrauchtes Pulver in Premium-Pulver für die additive Fertigung umgewandelt. (Bild: 6K)")
:quality(80)/p7i.vogel.de/wcms/54/41/54419e2615d111173263d0641edcfc6e/0115435975.jpeg "Im Reallabor der BAM wird der gesamte 3D-Druckprozess digitalisiert. Drei Metalllegierungen wurden jetzt mittels der Dynamischen Resonanz Methode (DRM) charakterisiert. (Bild: Bundesanstalt fuer Materialforschung u.-pruefung (BAM))")
:quality(80)/p7i.vogel.de/wcms/c1/92/c192faf294760188551a251a50a706a2/0115421140.jpeg "Neben Antennen, Ventilen und Steckern ist diese komplexe Wärmetauscher-Komponente ein typisches Kupferbauteil, das FKM im Laserstrahlschmelzen additiv fertigt. (Bild: FKM Sintertechnik)")
:quality(80)/p7i.vogel.de/wcms/8f/d2/8fd22e3afa16eab2d027135fed098bbd/0115495459.jpeg "Das Statistische Bundesamt hat zigtausend Unternehmen mit über zehn Mitarbeitern in Deutschland befragt, wie es um die Nutzung von künstlicher Intelligenz bestellt ist. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/c1/e7/c1e7660b47dd742db16fff421ac4b8f1/0115568731.jpeg "Der Roboter schleift hier mithilfe der neuen IWU-Ausgleichseinheit eine Freiformfläche präzise. Die Ausgleichseinheit hält dabei die Anpresskraft und die Abtragleistung konstant, heißt es. (Bild: Fraunhofer-IWU)")
:quality(80)/p7i.vogel.de/260I2XLaesiucU88azDqozPLn_Y=/500x500/wcms/5f/91/5f912cf5ca188/nicole-segerer-revenera.jpeg "Nicole Segerer")
Security Das gehört zum Sicherheitsportfolio
Rund 90 % des Codes in Anwendungen ist Open-Source. In anderen Worten: In jeder Anwendung steckt ein 90-prozentiges Sicherheitsrisiko. Software Composition Analysis wird damit auch für Anbieter von IIoT-Geräten Pflicht.
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/61/5a/615ac2ee6e619/paessler-logo-mit-claim-me-blue.jpeg "paessler-logo-mit-claim-me-blue (Paessler AG)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/5e/4d/5e4d1371cff23/logo.jpg "Logo.jpg (NetModule)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/60/a2/60a27b8f295c3/txone-logos-rgb-rgb.png "txone-logos-rgb-rgb (TXOne Networks)")
Software Composition Analysis (kurz SCA) bezeichnet die detaillierte Untersuchung aller Open-Source-und Dritt-Komponenten, die sich in Anwendungen befinden. Die Analyse liefert Sicherheits-, Rechts- und Entwicklerteams verwertbare Daten, um Schwachstellen im Code eines Softwareprodukts zu identifizieren und zu beseitigen. Gleichzeitig lassen sich auch Verstöße gegen Open Source Compliance-Richtlinien aufdecken, denn nur wenn Unternehmen wissen, welche OSS- Komponenten von ihnen genutzt werden, können sie auch Lizenzbestimmungen zuverlässig einhalten und auf Anfrage eine entsprechende Dokumentation vorlegen.
Scannerlösungen ermöglichen Softwareanbietern und Hersteller von IoT-Geräten:
- eine durchgängige Inventarisierung aller Open-Source-Assets (Software Bill of Materials - BOM)
- das Managen von Open-Source-Schwachstellen
- die Sicherstellung von Open-Source-Compliance
- die Auslieferung ihrer Anwendungen und Geräte unter Angabe der Nutzungsrechte von Dritten (Third Party Disclosures)
Über SCA-Lösungen lassen sich automatisierte Prozesse innerhalb des Schwachstellen- und Compliance-Managements realisieren. Sie decken nicht nur auf, welche Source Libraries von den Entwicklern genutzt werden, sondern auch welche Drittanbieter-Bibliotheken standardmäßig damit verknüpft sind. Dabei lässt sich der genaue Anteil des übernommenen Codes innerhalb des proprietären Quellcodes prozentual bestimmen. Das Sicherheitsteam wird zudem automatisch per Warnmeldung über neu entdeckte Schwachstellen benachrichtigt.
Das entgeht statischen Analyse-Tools
Viele Unternehmen vertrauen bei der Sicherheit ihrer Anwendungen noch immer zu sehr auf statische Analyse-Tools. Nicht immer reichen diese jedoch aus. Grundsätzlich können Softwareanbieter und Gerätehersteller mit statischen Analyse-Tools ihren eigenen proprietären Source Code analysieren. Entweder wird dazu ein abstrakter Syntaxbaum (AST) oder ein Modell der Anwendung erstellt, das unter anderem Ablaufsteuerung, Datenfluss oder Variablen abbildet. Einmal fertiggestellt, kann der AST nach vordefinierten Regeln abgefragt werden und so Schwachstellen und andere Sicherheitsprobleme aufdecken.
Statische Anwendungssicherheitstests (SAST) sind ohne Frage ein wichtiger Bestandteil des Software Development Life Cycles. Sie haben jedoch Grenzen – vor allem wenn es um die Analyse von Open Source geht. In vielen Fällen können die statischen Tools nicht den schnellen Veränderungen der OSS-Welt nachkommen. So werden in OSS-Paketen beispielsweise Sicherheitsschwachstellen gefunden, die längst von den verantwortlichen Autoren oder der Community beseitigt wurden.
Oft ist der Output der statischen Analyse-Tools auch einfach so umfangreich, dass es für Entwicklerteams extrem schwierig ist, einen klaren Blick auf die Ergebnisse zu erhalten und die Probleme schnell und effektiv zu lösen. Darüber hinaus kommen statische Tests meist erst gegen Ende des Entwicklungsprozesses zum Einsatz, um alle Abhängigkeiten in der vollständigen Anwendung berücksichtigen zu können.
Blitztest für Open Source Software
Ob statische oder dynamische Analysen, Penetrationstests und Fuzzing – das Managen von Open Source bleibt zentrale Aufgabe der Software Composition Analysis. Wer Software entwickelt oder diese in seine Geräte integriert und sich in Sachen OSS auf der sicheren Seite glaubt, sollte seinem Entwicklerteam oder externen Dienstleister einfach einmal die folgenden Fragen stellen:
- “Nutzen wir die neueste Version von Apache Struts 2?”
Die Frage nach Apache Struts ist ein guter Test. Das Open-Source-Framework zur Entwicklung und Bereitstellung von Web-Applikationen in Java stand bereits 2017 im Mittelpunkt des spektakulären Equifax-Hacks. Damals konnten Angreifer über eine Sicherheitslücke insgesamt 145,5 Millionen Datensätze des US-amerikanische Finanzdienstleisters Equifax abgreifen. Auch in diesem Jahr wurden neue Schwachstellen bekannt. Gibt es auf die Schnelle keine klaren Informationen darüber, wo und wie Apache Struts 2 genutzt wird, ist davon auszugehen, dass sich das Unternehmen nicht auf dem neuesten Stand befindet.
- “Was tun wir, wenn ein Kunde Anwendungen oder Geräte, in denen OpenSSL genutzt wird, aus Sicherheitsgründen ablehnt?“
Software-Sicherheitsaudits beinhaltet fast immer eine Überprüfung von Komponenten Dritter. Mit Unterstützung einer SCA-Plattform können Anbieter ihren Kunden einen detaillierten und vollständigen Einblick über die Verwendung von OSS- und Dritt-Komponenten bieten. Um langfristig Sicherheitsbedenken aus dem Weg zu räumen, können Unternehmen zudem auf das kontinuierliche Scannen und Monitoring aller Software-Komponenten verweisen.
- „Eine neue Vulnerability macht gerade Schlagzeilen. Sind wir davon betroffen?”
SCA-Lösungen beinhalten in der Regel Dashboards und Reports die das Risikopotential ihrer Anwendungen und die Gefährdung durch spezifische Schwachstellen über das ganze Unternehmen hinweg analysieren und bewerten. Sinnvoll ist hier auch die Integration der SCA-Plattform in den Build-Zyklus, um schnell und proaktiv Sicherheitslücken zu schließen.
Wer die Vorteile von Open Source Software für sich nutzen will, muss sich auch mit den Risiken hinsichtlich Sicherheit und Compliance auseinandersetzen. Die Grundregel lautet: „Kenne Deinen Code!“ Unternehmen, die Software Composition Analysis aktiv in ihre Sicherheits- und Compliancestrategie einbeziehen, schützen sich nicht nur vor Schwachstellen, sondern tragen auch zu einer sicheren Software Supply Chain im IoT bei.
:quality(80)/p7i.vogel.de/wcms/ae/81/ae8150139c989b4eb46cae0335178241/0111424868.jpeg "Mit einer SBOM kann die Branche dafür sorgen, dass Hacker keine bösartigen Artefakte in der Software-Supply-Chain platzieren. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/b2/26/b226f033cf8a42f7b82ee0b23854010f/0110706980.jpeg "Bei der Datenbankverwaltung sollte nicht nur die Technologie und die jeweiligen Vorteile betrachtet werden, sondern auch die Art und Weise des Einsatzes. (Bild: frei lizenziert)")