:quality(80)/p7i.vogel.de/wcms/c8/6b/c86bfadc9400e3859e5a8173b99872db/0114956871.jpeg "Für das große Gewinnerbild standen dann alle Preisträgerinnen und Preisträger noch einmal gemeinsam mit Moderatorin Margit Lievertz und Dev-Insider-Chefredakteur Stephan Augsten auf der Bühne. (Bild: krassevideos.de / VIT)")
:quality(80)/p7i.vogel.de/wcms/82/e2/82e20061fab6f1fc0561f023c6bfd2cc/0114109627.jpeg "Dev-Insider verleiht heute die IT-Awards 2023 in sechs Kategorien. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/5f/f4/5ff47683e4bc8de6cf2d484e627c58f2/0107845613.jpeg "Wir präsentieren die Gewinnerinnen und Gewinner der Dev-Insider Readers’ Choice Awards, (Bild: VIT)")
:quality(80)/p7i.vogel.de/wcms/55/d8/55d8de7a538dd09179a73c8038cf4147/0107796204.jpeg "Zum achten Mal verleihen die Insider-Portale die IT-Awards, nach zwei virtuellen Events wieder im Rahmen einer Abendgala. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/7f/fa/7ffa1340ab62def05e1f90e0e829e170/0115309401.jpeg "Unternehmensweit sind eine engere Zusammenarbeit und eine gemeinsame Sichtbarkeit für alle Dev-, Sec- und Ops-Teams vonnöten. (Bild: Murrstock - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e8/10/e8103ad3c912d1b400312f5b58c2eddd/0114050691.jpeg "Der Autor: Andrej Nikonov ist KI-Experte und Geschäftsführer von Cloudflight München (Bild: Cloudflight)")
:quality(80)/p7i.vogel.de/wcms/d1/a4/d1a47ae3556763bfb51056eac6eac031/0115379618.jpeg "Gerade jüngere Generationen wünschne sich mehr Interaktion im Team, wollen aber gleichzeitig nicht unbedingt ins Büro kommen. (Bild: <a href=https://pixabay.com/users/geralt-9301/>Gerd Altmann</a>)")
:quality(80)/p7i.vogel.de/wcms/a8/4d/a84d6e9a2b83c4638bac6813943e87e0/0115489095.jpeg "Kontinuierliches Testing über den gesamten Software Development Lifecycle hinweh will Veracode mit den neuen Lösungen noch besser unterstützen. (© ArtemisDiana - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/03/78/0378db755cdc799a84e4d47a02c8b898/0115139555.jpeg "Der Chatbot samt ChatGPT-Integration. (Bild: Lang / Botpress)")
:quality(80)/p7i.vogel.de/wcms/31/d6/31d6c005205f8dde8b88c2130c4b64ce/0115047701.jpeg "Bei einer Variablen richtet sich die Wahl des optimalen Datentyps nach dem zu erwartenden Inhalt. (Bild: <a href=https://pixabay.com/users/kuszapro-369349/>Christopher Kuszajewski</a>)")
:quality(80)/p7i.vogel.de/wcms/c6/77/c6778a56d0b6c6c4f0cd541bf8f87286/0115365909.jpeg "Die Linux-Kernel-Technologie eBPF hilft, Transparenz in die Kommunikation von Kubernetes-Clustern zu bringen. (Bild: <a href=https://unsplash.com/photos/background-pattern-GSiEeoHcNTQ>Growtika</a>)")
:quality(80)/p7i.vogel.de/wcms/ee/71/ee7167e6c8ba4f0af6075f0aedb53d94/0115097582.jpeg "Zwar entfällt das Infrastruktur-Management beim Serverless Computing weitestgehend, doch das wirft wiederum auch Nachteile auf. (Bild: <a href=https://pixabay.com/users/akitada31-172067/>Roman</a>)")
:quality(80)/p7i.vogel.de/wcms/51/1b/511b16729b1ca7ba78518feb2dd8bbf5/0114533620.jpeg "Sqlectron erleichtert die Datenbankadministration in heterogenen Umgebungen. (Bild: ©gorodenkoff, Getty Images via Canva.com)")
:quality(80)/p7i.vogel.de/wcms/56/88/5688ec566e2eaf918ab513c5e250d0d2/0114682045.jpeg "Allie AI kann neue Datenbestände automatisch dokumentieren und geeignete Data Stewards vorschlagen. (Bild: Alation)")
:quality(80)/p7i.vogel.de/wcms/d8/42/d842e974aba302d38084f99665d5d62b/0115384258.jpeg "API-Sicherheit ist heute Chefsache. CISOs müssen mit den Entwicklerteams den Grundstein für eine sichere IT-Infrastruktur legen und dafür eine Security Policy aufsetzen. (Bild: putilov_denis - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a2/6d/a26d6b9b81ed85fae9f94b4893ab44d3/0115643756.jpeg "Der Cyber Resilience Act soll die Besonderheiten in der Entwicklung von Open-Source-Projekten berücksichtigen. (© Duncan Andison - adobe.stock.com)")
:quality(80)/p7i.vogel.de/wcms/88/94/88946f4dedd1bf482b02fd8885d8eae0/0115579192.jpeg "Vielen Unternehmen fehlt der Überblick, welche APIs es gibt und wohin genau welche Daten mit welcher Kritikalität über diese Schnittstellen fließen. (Bild: Murrstock - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/7a/66/7a66a7339fb3df4f3b74358ae8157182/0111426638.jpeg "Mit Hilfe der Cast-Cloud-Applikation können Anwender ihre Software modernisieren, sicherer und umweltfreundlicher gestalten. (Bild: Cast Software)")
:quality(80)/p7i.vogel.de/wcms/e6/a1/e6a1fdcb119277fc720bd9410701c4cf/0115261467.jpeg "Der Low- und No-Code-Trend verändert die Art und Weise, wie Unternehmen Apps für ihre Bedürfnisse erstellen. (Bild: <a href=https://pixabay.com/users/dinesh_pal-26281818/>Dinesh_pal</a>)")
:quality(80)/p7i.vogel.de/wcms/01/d0/01d02743d019010886e4fe0d47222d72/0115628204.jpeg "Der Autor Fabian Tröltzsch auf der w3.vision X DMEXCO 2023. (© koelnmesse)")
:quality(80)/p7i.vogel.de/wcms/7a/59/7a595755b165e6d0939b52bc4bb82e9d/0113646230.jpeg "Blockchain-Technologien schaffen Vertrauen, was auch beim programmatischer Werbung von Vorteil ist. (Bild: <a href=https://pixabay.com/de/users/kiquebg-5133331/>kiquebg</a>)")
:quality(80)/p7i.vogel.de/wcms/fc/5d/fc5d51c434c66a36ab98ec88e33f3f11/0113457541.jpeg "Das Blockchain Competence Center Mittweida veranstaltet die gesamte Blockchain Autumn School 2023 über Zoom. (Bild: BCCM)")
:quality(80)/p7i.vogel.de/wcms/96/41/96410d07dd40694b8b473af9054e730c/0115019701.jpeg "Vor dem Ausführen wird Code in eine maschinell lesbare Form gebracht – und hierfür sind feste Regeln sinnvoll. (Bild: <a href=https://pixabay.com/users/johnsonmartin-724525/>Johnson Martin</a>)")
:quality(80)/p7i.vogel.de/wcms/2f/8e/2f8ede1d9d1dc4ae64f9d1fdd8cffb8f/0115091212.jpeg "In seinem Selbstverständnis als DevSecOps-Anbieter bietet GitLab über die reine Code-Verwaltung mit Git hinaus viele weitere Funktionen. (Bild: GitLab)")
:quality(80)/p7i.vogel.de/wcms/fe/d2/fed27eb813d94f3512c74fee8380567d/0114893074.jpeg "Codeberg bietet Git-Hosting und andere Services für freie und quelloffene Software, Inhalte und Projekte an. (Bild: Codeberg)")
:quality(80)/p7i.vogel.de/wcms/c2/21/c2213857722c33ef3d02db0acf33abc0/0112236476.jpeg "So sehen Chiselled Ubuntu containers aus – zumindest nach Auffassung der generativen KI DALL-E2. (Bild: Dall-E 2)")
:quality(80)/p7i.vogel.de/wcms/a9/6d/a96d15ff02a35fc84a9b65702395aa6b/0110694349.jpeg "Größenvergleich der gängigen Basis-Images (komprimiert und unkomprimiert). (Bild: Canonical)")
:quality(80)/p7i.vogel.de/wcms/ce/c1/cec146c6f112e79b71c56d37ee27145e/0105884802.jpeg "Das AWS Step Functions Workflow Studio ist ein visueller Editor, der sich insbesondere für das Prototyping von Workflows eignet. (Bild: Amazon Web Services)")
Abhängigkeiten und Sicherheitslücken in Paketen und Containern identifizieren Google OSV-Scanner zur Schwachstellen-Erkennung
Anbieter zum Thema
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/107300/107370/65.png "pressebox_600x600_v2.png ()")
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/134700/134771/65.png "20200122-PNG-confluent_logo-denim.png ()")
:fill(fff,0)/p7i.vogel.de/companies/65/68/656863dbcf3d9/logo-devops-windhoff-group.png "logo-devops-windhoff-group (Windhoff Group)"){kind=logo}
Google unterstützt Entwickler mit dem sogenannten Open-Source-Vulnerability-, kurz OSV-Scanner. Das Tool nutzt die seit 2021 bereitgestellte OSV-Datenbank, die bisher nur mit APIs zugreifbar war. Dadurch lassen sich Anfälligkeiten schnell erkennen und patchen.
Mit dem kostenlosen und quelloffenen OSV-Scanner von Google lassen sich vorhandene Open-Source-Pakete inklusive deren Abhängigkeiten auf Sicherheitslücken hin überprüfen. Parallel zu lokal gespeicherten Paketen kann der OSV-Scanner auch Docker-Container und die darin installierten Pakete auf Schwachstellen untersuchen. Der OSV-Scanner ist das offiziell unterstützt Frontend für Googles OSV-Datenbank.
Das Tool wurde in Go entwickelt. Der OSV-Scanner soll verlässliche, qualitativ hochwertige Schwachstelleninformationen sammeln, auf deren Basis sich bekannte Sicherheitslücken schnell schließen lassen. Nutzende erkennen außerdem, welche Open-Source-Produkte im eigenen Netzwerken Schwachstellen aufweisen. Die Open-Source-Plattform unterstützt alle wichtigen Sprachen, diverse Linux-Distributionen sowie Android, Linux-Kernel und OSS-Fuzz für die Suche nach Schwachstellen.
Jede Abhängigkeit enthält bekannte Schwachstellen oder potenzielle neue Schwachstellen, die jederzeit entdeckt werden könnten. Nur Tools wie der OSV-Scanner können Schwachstellen automatisiert auf die Spur kommen. Die U.S. Executive Order for Cybersecurity aus dem Jahr 2021 stellt diese Art der Automatisierung als Anforderung für nationale Standards zur sicheren Softwareentwicklung.
Wenn Entwickler den OSV-Scanner für die Untersuchung ihres Projektes nutzen, werden zunächst alle transitiven Abhängigkeiten gefunden, die durch die Analyse von Manifesten, SBOMs und Commit-Hashes verwendet werden. Der Scanner nutzt danach diese Informationen für die Suche nach Schwachstellen in der OSV-Datenbank und zeigt die für ein Projekt relevanten Lücken an. Zusätzlich ist der OSV-Scanner auch in die Schwachstellenprüfung der OpenSSF Scorecard integriert.
Google OSV-Scanner setzt auf die Online-Datenbank OSV.dev
Als Basis nutzt der Google OSV-Client daher die Datenbank, die Google bereits seit 2021 zur Verfügung stellt. Der Google OSV-Scanner steht als Open Source unter der Apache 2-Lizenz zur Verfügung. Neben Linux kann das Tool in Windows zum Einsatz kommen. Auf der GitHub-Seite des Projektes stehen alle OSV-Scanner-Versionen kostenlos zum Download bereit.
Die „Open Source Vulnerabilities“-Datenbank steht seit Februar 2021 mit dem Ziel zur Verfügung, die Suche nach Sicherheitslücken für Entwickler und Benutzer von Open-Source-Software zu automatisieren und zu verbessern. Die Schwachstellen-Datenbanken folgen einem verteilten Modell. Da verschiedene OSV-Datenbanken ein eigenes Format zur Beschreibung von Schwachstellen verwenden, muss ein Client, der Schwachstellen in mehreren Datenbanken nutzen soll, jede vollständig separat unterstützen.
Das Google Open Source Security-Team, das Go-Team und die Community haben daher ein Schema für den Austausch von Schwachstellen entwickelt. Die Open-Source-Datenbank osv.dev nutzt dieses Schema und der OSV-Client unterstützt es ebenfalls, um Schwachstellen in der gescannten Software auf Basis der Informationen von osv.dev zu finden. Dadurch ist eine Automatisierung der Schwachstellensuche möglich.
Praxis: OSV-Scanner herunterladen und nutzen
Der Download erfolgt als ausführbare Datei, die im Terminal ausgeführt werden kann. Alle Informationen zu den einzelnen Parametern zeigt das Tool mit der folgenden Syntax an:
osv-scanner_1.1.0_windows_amd64.exe --helpDie Version des Scanners lässt sich wiederum mit dem folgenden Befehl anzeigen:
osv-scanner_1.1.0_windows_amd64.exe --versionUm Pakete in einem Verzeichnis zu scannen, kommt zum Beispiel der folgende Befehl zum Einsatz:
osv-scanner -r <Verzeichnis mit Paketen>Durch diesen Befehl sammelt der OSV-Scanner eine Liste von Abhängigkeiten und Versionen von Paketen, die im Verzeichnis gespeichert sind. Diese Liste gleicht das Tool über die osv.dev-API mit der OSV-Datenbank ab. Wichtig ist an dieser Stelle, dass entweder alle Pakete in diesem Verzeichnis gespeichert sind oder dass alle Verzeichnisse nacheinander überprüft werden.
Durch die Verwendung von „--recursive / -r“ durchsucht das Tool alle Unterverzeichnisse im angegebenen Pfad. Die Suche nach dem Git-Commit-Hash ist für Projekte optimiert, die Git-Submodule oder einen ähnlichen Mechanismus verwenden, bei dem Abhängigkeiten als Git-Repositories ausgecheckt werden. Der OSV-Scanner unterstützt SBOM-Tools und kann SPDX-Dateien nutzen. Die Syntax dazu ist:
osv-scanner --sbom<Pfad>/sbom.jsonDer OSV-Scanner nutzt dabei verschiedene Lockfiles. Um ein Lockfile zu nutzen, kommt zum Beispiel der folgende Befehl zum Einsatz:
osv-scanner --lockfile=/path/to/your/package-lock.json --lockfile=/path/to/another/Cargo.lockDer OSV-Scanner kann an die eigenen Anforderungen angepasst werden. Dazu wird eine Datei „osv-scanner.toml“ erstellt und im OSV-Scanner-Verzeichnis gespeichert. Beim Start von OSV-Scanner kann diese Konfigurationsdatei als Parameter mitgegeben werden, zum Beispiel mit:
--config=/path/to/config.tomlFindet der OSV-Scanner Schwachstellen, zeigt das Tool die Daten in einer Tabelle an. Mit dem Parameter „--json“ ist es möglich, die Ausgabe direkt in einer JSON-Datei zu speichern.
Docker-Container auf Schwachstellen überprüfen
Neben dem Durchsuchen von Paketen nach Schwachstellen ist Google OSV-Scanner dazu in der Lage, innerhalb von Docker-Containern nach Schwachstellen in den installierten Paketen zu suchen. Die Syntax dazu lautet zum Beispiel:
osv-scanner --docker image_name:latestDocker-Images lassen sich natürlich nur dann scannen, wenn Docker lokal auf dem entsprechenden Computer installiert ist und der Benutzer, mit dem OSV-Scanner startet, die jeweiligen Berechtigungen hat. OSV-Scanner kann selbst innerhalb von Docker-Containern genutzt werden. Dazu steht das Tool als Container zur Verfügung. Der Download und der Start erfolgen in diesem Fall mit den beiden folgenden Befehlen:
docker pull ghcr.io/google/osv-scanner:latest
docker run -it ghcr.io/google/osv-scanner -h(ID:49051273)
:quality(80)/p7i.vogel.de/wcms/61/57/6157869e2c408466c2d04bec85b019a7/0109206975.jpeg "Datenbanken müssen per Backup gesichert werden, so auch IBM Db2. Unser Artikel zeigt, wie’s geht. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/76/6d/766d0e2c9efcace34a2b7b1208b005b7/0108237874.jpeg "Beispiel für ein Conan Recipe zum Einbinden der fmt-Bibliothek. (Bild: Joos / Conan.io)")