Over 10 years we help companies reach their financial and branding goals. Engitech is a values-driven technology agency dedicated.

Gallery

Contacts

411 University St, Seattle, USA

engitech@oceanthemes.net

+1 -800-456-478-23

Open Source sicher nutzen

Fast jeder Entwickler verlässt sich bis zu einem gewissen Grad auf OpenSource-Software. Die Flexibilität der offenen Nutzung und Lizensierung ist schwer zu toppen. Es ist jedoch auch und entscheidend, dass alle Entwickler verstehen, wie man Open-Source-Komponenten kontrolliert. Es gibt eine Reihe von Abhängigkeiten, Sicherheits- und LizenzKompatibilitätsfragen im Zusammenhang mit Open Source-Lösungen, die eine gewisse Überlegung erfordern, bevor eine Anwendung gestartet wird.

Vorteile

Bestandsaufnahme von Komponenten und sekundenschnelle Übersicht

Bedrohungen frühzeitig erkennen bevor sie zu Problem in der Produktion werden

Obsoleszenz vermeiden und immer die aktuellste Version nutzen


Zeitaubende Aktivitäten und Recherche automatisieren


Sicherheitrisiken aufdecken, um Maßnahmen gezielt zu planen

Abhängigkeiten isolieren, Duplikate erkennen und nicht verwendete Komponenten ausschließen

Kostensenkung durch Früherkennung vor der Auslieferung (Shift Left)


SCA Integration in den Entwicklungszyklus



    Es ist von enormer Bedeutung, ein vollständiges und genaues Inventar aller offenen Quellcodes und Komponenten von Drittanbietern, die bei Builds oder in Anwendungen verwendet werden, zu erstellen.

    Open-Source-Komponenten sind ebenso ein Teil Ihrer Anwendung wie der Code, den Sie selbst erstellt haben. Die Rolle, Funktionen, Merkmale, das Verhalten und die Lizenzierung jeder Open-Source-Komponente muss vollständig verstanden werden, um die Anwendungsbereitstellung ordnungsgemäß zu verwalten und die Software-Lizenzbestimmungen einzuhalten.

    Eliminieren Sie zeitaufwändige und fehleranfällige Prozesse bei der manuellen Erfassung des Inventars – einschließlich der Abhängigkeiten. Erkennen Sie schnell und einfach, ob Sie von einer neuen Sicherheitsschwachstellenwarnung betroffen sind. Checken Sie die Anwendung auf Lizenzprobleme und erstellen Sie Ihre offizielle Richtlinie für alle Entwickler.

    Kiuwan Insights durchsucht kontinuierlich die National Vulnerability Database (NIST) nach neuen Schwachstellen, zusätzlich zur Nutzung unserer eigenen Wissenbasis und der Forschung von Sicherheitsexperten.

    Wichtigkeit von SCA

    Die Zahl der veröffentlichten Open-Source-Schwachstellen hat sich im Vergleich zum Vorjahr mehr als verdoppelt. Die Anzahl von Schwachstellen stieg zwichen 2018 und 2019 um 130% (von 421 auf 968 Schwachstellen) und war 127% höher als 2017 (435). Dieser Anstieg scheint keine Anomalie zu sein, da die Zahl der neuen Schwachstellen in den ersten Monaten des Jahr 2020 auf einem historisch hohen Niveau geblieben ist. Open-Source-Komponenten werden oft sicherer als kommerzielle Software angesehen, da sie von vielen Seiten nach Schwachstellen überprüft werden. Doch die Statistiken zeigen, dass OpenSource-Schwachstellen exponentiell wachsen und von vielen Unternehmen aus Unwissenheit ignoriert werden. Da Open Source heutzutage überall verwendet und wiederverwendet wird, können Schwachstellen, wenn sie gefunden werden, unglaublich weitreichende Nutzen haben. Den Hackern sind diese Schwachstellen bekannt und zusätzlich ist der Quellcode von OpenSource-Komponenten frei zugänglich. Ideal, um die Angriffe gründlich zu testen bevor sie zum Einsatz kommen.

      • 80% der kommerziellen Anwendungen verwenden Open-Source-Komponenten
      • Drei neue Schwachstellen werden täglich gefunden
      • 20% mehr Angriffe auf Anwendungen, die Open-Souce-Komponenten verwenden

    Keine Anwendung ist sicher, wenn die Behebung von Schwachstellen verwendeter Open-Source-Komponenten ignoriert wird und keine SCA (Software Component Analysis)-Lösung in den Entwicklungszyklus eingebunden wird.

    Beispiele entdeckter Schwachstellen

      • Nicht initialisierte Variablen
      • Anwendung Fehlkonfiguration
      • Anmeldung-/Sitzungsvorhersage
      • Verzeichnis-Indexierung
      • Unzureichende Autorisierung/
      • Authentifizierung
      • Automatische Referenz-Berechnung
      • Websiteübergreifende Abfragefälschung
      • Informationslecks
      • Unzureichende Transportschichtschutz
      • Unzureichender Schutz der Binaries
      • Webseitenübergreifendes Scripting
      • Injections-Angriffe
      • Interprozesskommunikation
      • OS-Befehlsgewalt
      • Unsichere Kryptographie
      • Kryptographie-bezogene Angriffe
      • Puffer-Überlauf
      • Freie Nicht-Heap-Variablen
      • After-Free Verwendung
      • Double Free/Close
      • Format-String-Schwachstelle
      • Returtn Pointer auf Local
      • SQL-Injection
      • … und mehr

    Einbindung in den Entwicklungszyklus

    Eine zusätzliche Funktionalität von Kiuwan Insights ist die Möglichkeit automatisierbare Audits Ihrer OpenSource-Komponenten in jede Phase des Entwicklungszyklus einzubinden. Gerade hinsichtlich der wachsenden Gefahr durch Cyberangriffe, die sich auf OpenSource-Komponenten spezialisiert haben, ist die Einbindung von SCA (Software Component Analysis) in den Entwicklungszyklus ein wichtiger Schritt für eine sichere Anwendung. Durch die automatisierbare Sicherheitsschranke kann die Auslieferung hinsichtlich der verwendeten Open-Source-Komponenten jederzeit auditiert werden. Diese Schranke erleichtert die Integration Ihrer Sicherheits-Standards und gleichzeitig stellt sie sicher, dass diese Standards eingehalten werden. Eine Ausliferung, die Ihren Standards nicht entspricht, kann dadurch früh im Entwicklungszyklus gestoppt werden, wodurch Kostensenkungen durch den „Shift Left“ erzielt werden. Diese Audits können in der Produktion jederzeit als Wartungswerkzeuge genutzt werden, um rechtzeitig auf neue Schwach- stellen zu reagieren, bevor diese für Cyberangriffe genutzt werden.

    Abhängigkeitsprobleme vermeiden

    Open-Source-Projekte enthalten oft versionsspezifische Abhängigkeiten. Bei der Aktualisierung von Bereitstellungsumgebungen können die Open-Source Komponenten von Abhängigkeiten von früheren Versionen betroffen sein. Da viele Entwickler sich auf einen umfangreichen Stack von Open-Source Komponenten verlassen, können die Abhängigkeiten schwer zu bewältigen sein. Kiuwan Insights hilft Ihnen bei der Durchleuchtung der Anwendungsarchitektur und der Überwachung der Code Qualität und erkennt die Abhängigkeiten in der Code-Basis. Abhängigkeiten werden zwar nicht direkt beseitigt, aber der hohe Level des Code-Verständnisses erhöht die Effektivität bei der Behandlung von Abhängigkeitsproblemen.

    Lizenz-Kompatibilität

    Die meisten Open-Source-Projekte erlauben den Benutzern die vollständige Replikation, die Modifizierung und den Weiterverkauf. Dies trifft aber nicht auf alle Open-Source-Projekte zu und genau dort können manchmal Probleme bei der Verwendung von Open-Source-Komponenten entstehen. Die meisten Produkte erfordern spezielle Formulierungen in der Lizenzierung abgeleiteter Software-Distributionen, um die Nutzung von OpenSource-Bibliotheken angemessen zu berücksichtigen.

    Warum Kiuwan?

    Kiuwan Insights gehört zur Speerspitze der SCA-Lösungen auf dem globalen Markt. Hierzu gehört viel mehr als nur ein vollständiges Inventar der Open-Souce-Komponenten, das von Ihren Anwendungen verwendet wird, sowie detaillierte Informationen über Sicherheits-, Veralterungs- und Lizenzierungsrisiken dieser Komponenten. Kiuwan hat bei SCA das Ziel verfolgt, schnell akkurate Ergebnisse zu liefern. Die Instalation ist einfach gehalten, die Benutzeroberfläche ist intuitiv gestaltet und eine umfangreiche Startkonfiguration wird fertig mitgeliefert. Die Implementierungszeit wurde dadurch stark auf wenige Tage verkürzt. Die Ergebnisse der Scans sind innerhalb von Minuten, nicht Tagen zu sehen. Die Ergebnisse der Scans bieten dabei eine lückenlose Informationsübersicht. Dabei bleibt die Lösung vielseitig konfigurierbar, um sich Ihren Individuellen Anforderungen anzupassen.