Der Einsatz von Open-Source-Software (OSS) kann die Softwareentwicklung erheblich beschleunigen und vereinfachen. Die OSS-Nutzung birgt jedoch auch Risiken, wie das Beispiel Log4J zeigt. Erfahren Sie in diesem Whitepaper, wie Sie Ihre Software-Lieferkette gegen solche Fehler absichern und so rechtliche Anforderungen wie NIS 2 und CRA erfüllen.
Inhalt:
Software steckt heute in fast allen Geräten und Maschinen – vom Staubsaugerroboter über intelligente Kühlschränke und Autos bis hin zur Smart Factory. Schätzungen zufolge wurden in den vergangenen 20 Jahren fast drei Billionen Zeilen Code geschrieben – Tendenz steigend.
Nicht immer muss das Rad jedoch neu erfunden werden. Zahlreiche Open-Source-Software-Komponenten (OSS) erleichtern und beschleunigen die Arbeit der Developer erheblich. Sie bergen aber auch Risiken, wie das Beispiel Log4J/ Log4Shell deutlich zeigt.
Wer künftig fehlerhafte OSS-Komponenten verwendet, gefährdet nicht nur die Sicherheit seiner Software, er macht sich unter Umständen auch haftbar. Mit der NIS 2-Richtlinie (Network and Information Security) und dem Cyber Resilience Act (CRA) nimmt die Europäische Union nämlich Unternehmen auch dann in die Verantwortung, wenn Sicherheitslücken in ihrer Software-Lieferkette auftreten.
Dieses Whitepaper zeigt Ihnen, wie Sie sich vor solchen Gefahren schützen.
Lesen Sie unter anderem:
- Welche Probleme Sie sich einhandeln, wenn Sie Open-Source-Software einsetzen.
- Was die EU mit dem Cyber Resilience Act (CRA) vorhat.
- Warum Sie eine SBOM-Liste (Software Bill of Materials) brauchen.
- Wie Sie ein Software-Supply-Chain-Management einrichten.
Originalauszug aus dem Dokument:
Warum die Hersteller bei Software-Lieferketten Hilfe benötigen
Mittlerweile existieren mehrere Lösungen, die sich genau um dieses Problem kümmern. Sie bieten ein Software-Supply-Chain-Management, das ähnlich funktioniert wie die Verwaltung einer Lieferkette beispielsweise in der Automobilindustrie. Denn genauso wie bei der Produktion von Autos werden beim Entwickeln von Software mehrere Teile von verschiedenen Herstellern zusammengesetzt. Zum intern erzeugten Code kommen externe Code-Anteile hinzu, bei denen es sich heute häufig um Open Source handelt. Die einzelnen Code-Teile müssen dabei von bestmöglicher Qualität sein und dürfen keine Fehler aufweisen. Eine Qualitätskontrolle, wie sie im vorherigen Abschnitt beschrieben wurde, zählt daher zum Pflichtprogramm und muss Teil der Software-Lieferkette sein.
Die Unternehmen selbst können diese Aufgabe nicht im Alleingang bewältigen. Das gilt umso mehr für Firmen, deren Kerngeschäft in einem ganz anderen Gebiet liegt, etwa bei der Automobilproduktion oder dem Bau von Haushaltsgeräten. Sie benötigen eine weitgehend automatisiert arbeitende Lösung für das Management ihrer Software-Supply-Chain, die darüber hinaus noch weitere Dienste zur Verfügung stellt: