IT-Awards 2020 Die beliebtesten Anbieter von Code and Composition Analysis 2020

Der größte Teil aller aktuellen Anwendungen basiert auf quelloffenem Code. Die Übersicht geht hierbei schnell verloren, Risiken und Schwachstellen lassen sich nur schwer identifizieren. Hier setzen Lösungen für Software Composition Analysis (SCA) an.

Moderne Software besteht aus einem Sammelsurium an Code, Bibliotheken und APIs. Laut dem „Open Source Security and Risk Analysis Report 2020“ von Synopsis nutzen 99 Prozent aller Anwendungen quelloffene Komponenten – sie machen insgesamt 70 Prozent der überprüften Codebasis aus. Das Problem: Laut der Studie enthalten rund drei Viertel der Codes Schwachstellen, etwa die Hälfte sogar Sicherheitslücken mit hohem Risiko.

Zudem sind bei gut zwei Drittel aller Anwendungen Lizenzprobleme zu finden, ein Drittel enthält sogar gänzlich unlizenzierte Bestandteile. Auch die Aktualität der verwendeten Open-Source-Elemente lässt zu wünschen übrig: 88 Prozent der Codebasis enthielt Bestandteile, die in den vergangenen zwei Jahren nicht mehr weiterentwickelt wurden. Bei 82 Prozent der Codes wurden Komponenten gefunden, die seit mehr als vier Jahren kein Update mehr erhalten hatten.

Bildergalerie

Überblick gewinnen

Dies wirft naturgemäß gewaltige Probleme auf, falls die betreffenden Anwendungen beispielsweise Sicherheitsvorgaben einhalten oder in sensiblen Bereichen zum Einsatz kommen sollen. Abhilfe schafft hierbei Software Composition Analysis (SCA). Vereinfacht ausgedrückt handelt es sich dabei um eine detaillierte Inventarisierung aller Open-Source- und sonstigen Drittkomponenten, die Teil der betreffenden Anwendung und ihrer Bestandteile sind. Dabei wird eine sogenannte „Bill of Materials“ (BOM) erstellt, die unter anderem exakte Informationen zu Versionen und Lizenztypen enthält.

SCA hilft damit Entwicklern, Security- und Rechtsverantwortlichen, einen genauen Überblick über alle genutzten Open-Source-Bestandteile und damit auch über mögliche Sicherheitslücken und Lizenzprobleme zu erhalten. Entdeckte Schwachstellen oder Verstöße lassen sich auf diese Weise zielgerichtet beseitigen und Lizenzbedingungen nachweisbar einhalten. Diese Übersicht umfasst nicht nur direkt genutzte Codes und Bibliotheken: Über automatisierte Prozesse werden auch standardmäßige Verknüpfungen von Drittanbieter-Libraries sichtbar. Tauchen bei einem solchen Scan neue Schwachstellen auf, werden die Verantwortlichen automatisch benachrichtigt. Zudem lässt sich genau ermitteln, wie hoch der Anteil des übernommenen Codes innerhalb des selbst erstellten Quellcodes ist.

Vorteile in der Praxis

Leistungsfähige SCA-Systeme sind zudem in der Lage, die entdeckten Probleme nach ihrem Risikofaktor zu priorisieren. Auf diese Weise wird sichergestellt, dass schwerwiegende Schwachstellen nicht unbeachtet bleiben und zeitnah geschlossen werden. Im Idealfall unterstützt die SCA-Lösung dauerhaft bei der Umsetzung entsprechender Maßnahmen, wie etwa dem regelmäßigen Patchen aller Open-Source-Komponenten.

Der Einsatz von SCA-Lösungen bringt weitere Vorteile mit sich: So lassen sich beispielsweise Compliance-Vorgaben über automatisierte Policies forcieren. Zudem reduziert sich der Aufwand für die Suche nach Schwachstellen aller Art in Open-Source-Komponenten deutlich, was schnellere Reaktionen gestattet und damit auch geringere Kosten nach sich zieht. Dieser Geschwindigkeitsvorteil äußert sich auch in einer schnelleren Time-to-Market, bei gleichzeitig höherer Produktsicherheit und einem geringeren Risiko für nachträgliche Rechtsstreitigkeiten.

Trends und Entwicklungen

Laut dem „Market Guide for Software Composition Analysis“ von Gartner zeichnen sich einige Trends im SCA-Umfeld ab. So gehen die Marktforscher davon aus, dass SCA aufgrund der hohen Verbreitung von Open Source weiter an Bedeutung gewinnt. Dabei könnte sich auch der Funktionsumfang der Lösungen verbreitern, und beispielsweise auch eine Bewertung von Zukunftssicherheit, Stabilität und Herkunft quelloffener Komponenten umfassen. Dies könnte für die gesamte Software Supply Chain erfolgen.

SCA-Tools fokussieren sich ausschließlich auf Open-Source-Code. Laut Gartner äußern Anwender aber immer wieder Bedenken gegenüber proprietären COTS-Paketen („Commercial Off-The-Shelf“). Hier sehen die Marktforscher Potenzial für die Ergänzung entsprechender Funktionen.

(ID:47024183)