:quality(80)/p7i.vogel.de/wcms/c8/6b/c86bfadc9400e3859e5a8173b99872db/0114956871.jpeg "Für das große Gewinnerbild standen dann alle Preisträgerinnen und Preisträger noch einmal gemeinsam mit Moderatorin Margit Lievertz und Dev-Insider-Chefredakteur Stephan Augsten auf der Bühne. (Bild: krassevideos.de / VIT)")
:quality(80)/p7i.vogel.de/wcms/82/e2/82e20061fab6f1fc0561f023c6bfd2cc/0114109627.jpeg "Dev-Insider verleiht heute die IT-Awards 2023 in sechs Kategorien. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/5f/f4/5ff47683e4bc8de6cf2d484e627c58f2/0107845613.jpeg "Wir präsentieren die Gewinnerinnen und Gewinner der Dev-Insider Readers’ Choice Awards, (Bild: VIT)")
:quality(80)/p7i.vogel.de/wcms/55/d8/55d8de7a538dd09179a73c8038cf4147/0107796204.jpeg "Zum achten Mal verleihen die Insider-Portale die IT-Awards, nach zwei virtuellen Events wieder im Rahmen einer Abendgala. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/7f/fa/7ffa1340ab62def05e1f90e0e829e170/0115309401.jpeg "Unternehmensweit sind eine engere Zusammenarbeit und eine gemeinsame Sichtbarkeit für alle Dev-, Sec- und Ops-Teams vonnöten. (Bild: Murrstock - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e8/10/e8103ad3c912d1b400312f5b58c2eddd/0114050691.jpeg "Der Autor: Andrej Nikonov ist KI-Experte und Geschäftsführer von Cloudflight München (Bild: Cloudflight)")
:quality(80)/p7i.vogel.de/wcms/d1/a4/d1a47ae3556763bfb51056eac6eac031/0115379618.jpeg "Gerade jüngere Generationen wünschne sich mehr Interaktion im Team, wollen aber gleichzeitig nicht unbedingt ins Büro kommen. (Bild: <a href=https://pixabay.com/users/geralt-9301/>Gerd Altmann</a>)")
:quality(80)/p7i.vogel.de/wcms/a8/4d/a84d6e9a2b83c4638bac6813943e87e0/0115489095.jpeg "Kontinuierliches Testing über den gesamten Software Development Lifecycle hinweh will Veracode mit den neuen Lösungen noch besser unterstützen. (© ArtemisDiana - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/03/78/0378db755cdc799a84e4d47a02c8b898/0115139555.jpeg "Der Chatbot samt ChatGPT-Integration. (Bild: Lang / Botpress)")
:quality(80)/p7i.vogel.de/wcms/31/d6/31d6c005205f8dde8b88c2130c4b64ce/0115047701.jpeg "Bei einer Variablen richtet sich die Wahl des optimalen Datentyps nach dem zu erwartenden Inhalt. (Bild: <a href=https://pixabay.com/users/kuszapro-369349/>Christopher Kuszajewski</a>)")
:quality(80)/p7i.vogel.de/wcms/c6/77/c6778a56d0b6c6c4f0cd541bf8f87286/0115365909.jpeg "Die Linux-Kernel-Technologie eBPF hilft, Transparenz in die Kommunikation von Kubernetes-Clustern zu bringen. (Bild: <a href=https://unsplash.com/photos/background-pattern-GSiEeoHcNTQ>Growtika</a>)")
:quality(80)/p7i.vogel.de/wcms/ee/71/ee7167e6c8ba4f0af6075f0aedb53d94/0115097582.jpeg "Zwar entfällt das Infrastruktur-Management beim Serverless Computing weitestgehend, doch das wirft wiederum auch Nachteile auf. (Bild: <a href=https://pixabay.com/users/akitada31-172067/>Roman</a>)")
:quality(80)/p7i.vogel.de/wcms/14/7c/147c7bac4c8372a856eb6d7938b0295f/0115093862.jpeg "Von Key-Value-Stores über In-Memory- bis hin zu Graph-Datenbanken: NoSQL kennzeichnet sich durch verschiedene Typen, die oft kombiniert werden. (Bild: <a href=https://pixabay.com/users/placidplace-25572496/>Placidplace</a>)")
:quality(80)/p7i.vogel.de/wcms/51/1b/511b16729b1ca7ba78518feb2dd8bbf5/0114533620.jpeg "Sqlectron erleichtert die Datenbankadministration in heterogenen Umgebungen. (Bild: ©gorodenkoff, Getty Images via Canva.com)")
:quality(80)/p7i.vogel.de/wcms/56/88/5688ec566e2eaf918ab513c5e250d0d2/0114682045.jpeg "Allie AI kann neue Datenbestände automatisch dokumentieren und geeignete Data Stewards vorschlagen. (Bild: Alation)")
:quality(80)/p7i.vogel.de/wcms/7e/53/7e53270c23873649b7e27c3fec4b36f8/0115274382.jpeg "Technische Schulden häufen sich beinahe zwangsläufig an, Ki kann diesen Prozess leider deutlich beschleunigen. (Bild: <a href=https://unsplash.com/de/@and_machines>and machines</a>)")
:quality(80)/p7i.vogel.de/wcms/a2/6d/a26d6b9b81ed85fae9f94b4893ab44d3/0115643756.jpeg "Der Cyber Resilience Act soll die Besonderheiten in der Entwicklung von Open-Source-Projekten berücksichtigen. (© Duncan Andison - adobe.stock.com)")
:quality(80)/p7i.vogel.de/wcms/88/94/88946f4dedd1bf482b02fd8885d8eae0/0115579192.jpeg "Vielen Unternehmen fehlt der Überblick, welche APIs es gibt und wohin genau welche Daten mit welcher Kritikalität über diese Schnittstellen fließen. (Bild: Murrstock - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e6/a1/e6a1fdcb119277fc720bd9410701c4cf/0115261467.jpeg "Der Low- und No-Code-Trend verändert die Art und Weise, wie Unternehmen Apps für ihre Bedürfnisse erstellen. (Bild: <a href=https://pixabay.com/users/dinesh_pal-26281818/>Dinesh_pal</a>)")
:quality(80)/p7i.vogel.de/wcms/01/d0/01d02743d019010886e4fe0d47222d72/0115628204.jpeg "Der Autor Fabian Tröltzsch auf der w3.vision X DMEXCO 2023. (© koelnmesse)")
:quality(80)/p7i.vogel.de/wcms/7a/59/7a595755b165e6d0939b52bc4bb82e9d/0113646230.jpeg "Blockchain-Technologien schaffen Vertrauen, was auch beim programmatischer Werbung von Vorteil ist. (Bild: <a href=https://pixabay.com/de/users/kiquebg-5133331/>kiquebg</a>)")
:quality(80)/p7i.vogel.de/wcms/fc/5d/fc5d51c434c66a36ab98ec88e33f3f11/0113457541.jpeg "Das Blockchain Competence Center Mittweida veranstaltet die gesamte Blockchain Autumn School 2023 über Zoom. (Bild: BCCM)")
:quality(80)/p7i.vogel.de/wcms/96/41/96410d07dd40694b8b473af9054e730c/0115019701.jpeg "Vor dem Ausführen wird Code in eine maschinell lesbare Form gebracht – und hierfür sind feste Regeln sinnvoll. (Bild: <a href=https://pixabay.com/users/johnsonmartin-724525/>Johnson Martin</a>)")
:quality(80)/p7i.vogel.de/wcms/2f/8e/2f8ede1d9d1dc4ae64f9d1fdd8cffb8f/0115091212.jpeg "In seinem Selbstverständnis als DevSecOps-Anbieter bietet GitLab über die reine Code-Verwaltung mit Git hinaus viele weitere Funktionen. (Bild: GitLab)")
:quality(80)/p7i.vogel.de/wcms/c2/21/c2213857722c33ef3d02db0acf33abc0/0112236476.jpeg "So sehen Chiselled Ubuntu containers aus – zumindest nach Auffassung der generativen KI DALL-E2. (Bild: Dall-E 2)")
:quality(80)/p7i.vogel.de/wcms/a9/6d/a96d15ff02a35fc84a9b65702395aa6b/0110694349.jpeg "Größenvergleich der gängigen Basis-Images (komprimiert und unkomprimiert). (Bild: Canonical)")
:quality(80)/p7i.vogel.de/wcms/ce/c1/cec146c6f112e79b71c56d37ee27145e/0105884802.jpeg "Das AWS Step Functions Workflow Studio ist ein visueller Editor, der sich insbesondere für das Prototyping von Workflows eignet. (Bild: Amazon Web Services)")
IT-Awards 2020 Die beliebtesten Anbieter von Code and Composition Analysis 2020
Anbieter zum Thema
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/107300/107370/65.png "pressebox_600x600_v2.png ()")
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/134700/134771/65.png "20200122-PNG-confluent_logo-denim.png ()")
:fill(fff,0)/p7i.vogel.de/companies/65/68/656863dbcf3d9/logo-devops-windhoff-group.png "logo-devops-windhoff-group (Windhoff Group)"){kind=logo}
Der größte Teil aller aktuellen Anwendungen basiert auf quelloffenem Code. Die Übersicht geht hierbei schnell verloren, Risiken und Schwachstellen lassen sich nur schwer identifizieren. Hier setzen Lösungen für Software Composition Analysis (SCA) an.
Moderne Software besteht aus einem Sammelsurium an Code, Bibliotheken und APIs. Laut dem „Open Source Security and Risk Analysis Report 2020“ von Synopsis nutzen 99 Prozent aller Anwendungen quelloffene Komponenten – sie machen insgesamt 70 Prozent der überprüften Codebasis aus. Das Problem: Laut der Studie enthalten rund drei Viertel der Codes Schwachstellen, etwa die Hälfte sogar Sicherheitslücken mit hohem Risiko.
Zudem sind bei gut zwei Drittel aller Anwendungen Lizenzprobleme zu finden, ein Drittel enthält sogar gänzlich unlizenzierte Bestandteile. Auch die Aktualität der verwendeten Open-Source-Elemente lässt zu wünschen übrig: 88 Prozent der Codebasis enthielt Bestandteile, die in den vergangenen zwei Jahren nicht mehr weiterentwickelt wurden. Bei 82 Prozent der Codes wurden Komponenten gefunden, die seit mehr als vier Jahren kein Update mehr erhalten hatten.
:quality(80)/p7i.vogel.de/wcms/33/5f/335f647d4099dfccc14f23e5d3684de6/93469671.jpeg "<strong>Code and Composition Analysis – Platin: GitLab</strong><br /><br />")
:quality(80)/p7i.vogel.de/wcms/63/e6/63e65d3bb68090b578c8181e3ff29602/93469670.jpeg "<strong>Code and Composition Analysis – Gold: Snyk</strong><br /><br /><img style=\"float:left;margin-right:20px;\" src=\"https://images.vogel.de/vogelonline/bdb/1776300/1776321/4.jpg\"/><br /><strong>Schwachstellen und Lizenzverletzungen in Open-Source-Komponenten und Containern erkennen</strong><br />Snyk hat sich auf dem Gebiet der „Developer first“-Sicherheit spezialisiert und unterstützt Unternehmen dabei, Entwicklungsprozesse zu beschleunigen und gleichzeitig geschützt zu bleiben. Snyk ist die einzige Lösung, die nahtlos und proaktiv Schwachstellen und Lizenzverletzungen in Open-Source-Abhängigkeiten und Container-Images findet und behebt. Durch die umfassende Integration in bestehende Entwickler-Workflows, Quelltext-Kontrolle (einschließlich GitHub, Bitbucket, GitLab) und CI/CD-Pipelines ermöglicht Snyk effiziente Sicherheits-Workflows und reduziert die Bearbeitungszeit zur Behebung von Schwachstellen.<br /><br />Mehr Infos unter: <a href=\"https://snyk.io/ \" target=_new>Snyk.io</a><br /><br />")
:quality(80)/p7i.vogel.de/wcms/14/54/1454516880d31bccdb7f42a98de08a12/93469669.jpeg "<strong>Code and Composition Analysis – Silber: Checkmarx</strong><br /><br />")
Überblick gewinnen
Dies wirft naturgemäß gewaltige Probleme auf, falls die betreffenden Anwendungen beispielsweise Sicherheitsvorgaben einhalten oder in sensiblen Bereichen zum Einsatz kommen sollen. Abhilfe schafft hierbei Software Composition Analysis (SCA). Vereinfacht ausgedrückt handelt es sich dabei um eine detaillierte Inventarisierung aller Open-Source- und sonstigen Drittkomponenten, die Teil der betreffenden Anwendung und ihrer Bestandteile sind. Dabei wird eine sogenannte „Bill of Materials“ (BOM) erstellt, die unter anderem exakte Informationen zu Versionen und Lizenztypen enthält.
SCA hilft damit Entwicklern, Security- und Rechtsverantwortlichen, einen genauen Überblick über alle genutzten Open-Source-Bestandteile und damit auch über mögliche Sicherheitslücken und Lizenzprobleme zu erhalten. Entdeckte Schwachstellen oder Verstöße lassen sich auf diese Weise zielgerichtet beseitigen und Lizenzbedingungen nachweisbar einhalten. Diese Übersicht umfasst nicht nur direkt genutzte Codes und Bibliotheken: Über automatisierte Prozesse werden auch standardmäßige Verknüpfungen von Drittanbieter-Libraries sichtbar. Tauchen bei einem solchen Scan neue Schwachstellen auf, werden die Verantwortlichen automatisch benachrichtigt. Zudem lässt sich genau ermitteln, wie hoch der Anteil des übernommenen Codes innerhalb des selbst erstellten Quellcodes ist.
Vorteile in der Praxis
Leistungsfähige SCA-Systeme sind zudem in der Lage, die entdeckten Probleme nach ihrem Risikofaktor zu priorisieren. Auf diese Weise wird sichergestellt, dass schwerwiegende Schwachstellen nicht unbeachtet bleiben und zeitnah geschlossen werden. Im Idealfall unterstützt die SCA-Lösung dauerhaft bei der Umsetzung entsprechender Maßnahmen, wie etwa dem regelmäßigen Patchen aller Open-Source-Komponenten.
Der Einsatz von SCA-Lösungen bringt weitere Vorteile mit sich: So lassen sich beispielsweise Compliance-Vorgaben über automatisierte Policies forcieren. Zudem reduziert sich der Aufwand für die Suche nach Schwachstellen aller Art in Open-Source-Komponenten deutlich, was schnellere Reaktionen gestattet und damit auch geringere Kosten nach sich zieht. Dieser Geschwindigkeitsvorteil äußert sich auch in einer schnelleren Time-to-Market, bei gleichzeitig höherer Produktsicherheit und einem geringeren Risiko für nachträgliche Rechtsstreitigkeiten.
Trends und Entwicklungen
Laut dem „Market Guide for Software Composition Analysis“ von Gartner zeichnen sich einige Trends im SCA-Umfeld ab. So gehen die Marktforscher davon aus, dass SCA aufgrund der hohen Verbreitung von Open Source weiter an Bedeutung gewinnt. Dabei könnte sich auch der Funktionsumfang der Lösungen verbreitern, und beispielsweise auch eine Bewertung von Zukunftssicherheit, Stabilität und Herkunft quelloffener Komponenten umfassen. Dies könnte für die gesamte Software Supply Chain erfolgen.
SCA-Tools fokussieren sich ausschließlich auf Open-Source-Code. Laut Gartner äußern Anwender aber immer wieder Bedenken gegenüber proprietären COTS-Paketen („Commercial Off-The-Shelf“). Hier sehen die Marktforscher Potenzial für die Ergänzung entsprechender Funktionen.
(ID:47024183)
:quality(80)/p7i.vogel.de/wcms/60/b2/60b2935f4f0c084dd332f57319688199/0113134934.jpeg "Der Software Risk Manager von Synopsys soll mit verschiedenen Funktionen dabei helfen, Sicherheitsrisiken aufzudecken und zu priorisieren. (© Gorodenkoff - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/5e/d6/5ed6295a936c38aefce9da4512c34692/0113337647.jpeg "Software-Stücklisten helfen dabei, die verwendeten Open-Source- und Drittanbieter-Komponenten im Blick zu behalten. (© Song_about_summer - stock.adobe.com)")