Traditionelle Methoden für das statische, dynamische oder interaktive Application Security Testing (AST) sind für Open-Source-Komponenten nur bedingt geeignet. Das vorliegende eBook zeigt Ihnen, wie Sie mit einer Software-Composition-Analyse diese Sicherheitslücke in der Softwareentwicklung schließen.
Inhalt:
Open Source hatte lange den Ruf, nur etwas für Bastler und Nerds zu sein. Betriebssysteme wie Linux galten als leistungsfähig und sicher, aber auch schwer bedienbar und für Laien ungeeignet.
Diese Zeiten sind längst vorbei. Heute findet sich Open Source in nahezu allen IT-Produkten, vom Smartphone bis zur Enterprise-Cloud-Umgebung. Analysten gehen davon aus, dass Open Source mittlerweile 80 Prozent der gesamten Codebasis ausmacht.
Aus Security-Sicht hat das Open-Source-Konzept durchaus Vorteile. Da der Quellcode öffentlich ist, kann ihn jeder überprüfen. Probleme werden deshalb in der Regel schnell identifiziert und behoben. Werden Sicherheitslücken jedoch nicht erkannt, kann es durch die weite Verbreitung von Open-Source-Komponenten zu einem regelrechten Flächenbrand kommen. So waren von der im Dezember 2021 bekannt gewordenen Log4J-Schwachstelle Millionen Server betroffen, darunter die Maschinen von Amazon Web Services, Steam und iCloud, aber auch die Webserver des Bundesfinanzhofs und des belgischen Militärs.
Im vorliegenden eBook zeigen Ihnen die Experten von Checkmarx, wie Sie mithilfe einer Software-Composition-Analyse (SCA) durch Open-Source-Komponenten verursachte Risiken in der Softwareentwicklung minimieren.
Lesen Sie unter anderem:
- Was Sie beim Einsatz von Open-Source-Komponenten beachten müssen.
- Welche drei Elemente eine Software-Composition-Analyse ausmachen und wie Sie diese richtig einsetzen.
- Was Sie bei der Wahl einer SCA-Lösung beachten sollten.
Originalauszug aus dem Dokument:
Verfahren zur Erkennung von Open-Source-Code
Je nach SCA-Lösung gibt es verschiedene Verfahren für die Lokalisierung von Open-Source-Code: So setzen einige Lösungen auf Signaturscans, bei denen für jede erkannte Open-Source-Komponente eine SHA-1-Hash-Signatur generiert wird. Diese alphanumerischen Strings sind ein unverwechselbarer Fingerabdruck der jeweiligen Komponente und lassen sich einfach und schnell mit bestehenden Signaturdatenbanken bekannter Open-Source-Komponenten abgleichen.
Andere SCA-Lösungen fokussieren auf die Files, die von Ihren Build-Tools und Package-Managern generiert werden. Mit dieser Package-Manager-Analyse lässt sich sogar die jeweilige Version der verwendeten Komponenten feststellen – man überprüft also, ob die Software wirklich das enthält, was der Entwickler verspricht.
Und schließlich gibt es SCA-Lösungen, die auf sogenannte Build-Dependency- Analysen setzen und die Software etrst nach Abschluss der Entwicklung untersuchen. Damit lassen sich alle Abhängigkeiten identifizieren, die nicht offengelegt, sondern erst im Build-Prozess in die Anwendung eingebracht wurden – und nun zu potenziell gefährlichen Schwachstellen in der Software führen.