Revenera Code Insight mit erweiterten SCA-Funktionen Automatisierte Erstellung von OSS-Stücklisten

Redakteur: Stephan Augsten

Viele Compliance-Regularien verlangen, dass Unternehmen die in ihre Anwendungen integrierten Open-Source-Komponenten inventarisieren. Revenera Code Insight erstellt nun automatisiert Software-Stücklisten im Zuge der Software Composition Analysis, kurz SCA.

Firmen zum Thema

Revenera Code Insight inventarisiert verwendete Open-Source-Komponenten sowie Abhängigkeiten und deckt Compliance-Verstöße auf.
Revenera Code Insight inventarisiert verwendete Open-Source-Komponenten sowie Abhängigkeiten und deckt Compliance-Verstöße auf.
(Bild: Revenera)

Das Erstellen einer umfassen Software Bill of Material (SBoM, Software-Stückliste) über „weiterverarbeitete“ Open-Source-Komponenten ist nicht immer ganz einfach. Revenera hat die SCA-Lösung Code Insight deshalb um neue Funktionen ausgebaut, die das Open-Source-Management für Entwickler und Compliance-Teams vereinfachen sollen.

Das Analyse- und Scanning-Tool identifiziert eingesetzte Open-Source-Komponenten und zeigt Compliance-Risiken und Schwachstellenauf. Gleichzeitig zeichnet die Lösung ein vollständiges Bild des Open-Source-Inventars. Die SBoM wird automatisch generiert und lässt sich kontinuierlich über die Software Supply Chain hinweg anpassen und managen.

Die globale Inventaransicht umfasst dabei auch eine „Indented Bill-of-Material“, die Komponenten der unteren Ebenen beinhaltet und Anwendungen nach dem Top-Down-Verfahren listet. Benutzerdefinierte Abfragen nach unterschiedlichen Kriterien ermöglichen eine unternehmensweite Anzeige der SBoM-Elemente und helfen dabei, Komponenten, Lizenzen und/oder damit verbundene Sicherheitslücken zu identifizieren.

Laut Nicole Segerer, Vice President of Product Management & Marketing bei Revenera, wüssten Software-Anbieter oft nicht wirklich, wie sich ihre Produkte genau zusammensetzen: „Vor der Analyse sind durchschnittlich gerade einmal sechs Prozent der genutzten OSS-Komponenten überhaupt bekannt.” Für einen besseren Überblick sorgt Code Insight unter anderem mit dem „Unified Project Framework“, das eine kombinierte Ansicht auf vorkompilierten Quellcode und Build-Artefakte bietet, einschließlich direkter und transitiver Abhängigkeiten.

Zu den neuen Funktionen gesellen sich auch Projekthierarchien, die bei der genauen Modellierung komplexer Softwareanwendungen sollen. Das sogenannte „Projekt Branching“ erlaubt derweil die Synchronisation von Code Insight mit Code Repositories, z. B. nach dem Release einer Anwendung oder beim Hinzufügen von neuen Branches im Laufe des Produktlebenszyklus.

Weitere Informationen zu Revenera Code Insight auf der Webseite des Herstellers.

(ID:47033851)