:quality(80)/p7i.vogel.de/wcms/5f/f4/5ff47683e4bc8de6cf2d484e627c58f2/0107845613.jpeg "Wir präsentieren die Gewinnerinnen und Gewinner der Dev-Insider Readers’ Choice Awards, (Bild: VIT)")
:quality(80)/p7i.vogel.de/wcms/55/d8/55d8de7a538dd09179a73c8038cf4147/0107796204.jpeg "Zum achten Mal verleihen die Insider-Portale die IT-Awards, nach zwei virtuellen Events wieder im Rahmen einer Abendgala. (Bild: Vogel IT-Medien)")
:quality(80)/images.vogel.de/vogelonline/bdb/1883400/1883452/original.jpg "Die Gewinner der diesjährigen IT-Awards stehen fest – und hier sind Ihre Dev-Insider-Preisträger: (Vogel IT-Medien)")
:quality(80)/images.vogel.de/vogelonline/bdb/1883900/1883949/original.jpg "Am 21. Oktober 2021 ab 13:00 Uhr erhalten die Gewinner der diesjährigen Leserwahl den Readers' Choice Dev-Insider Award 2021. (Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/7a/59/7a595755b165e6d0939b52bc4bb82e9d/0113646230.jpeg "Blockchain-Technologien schaffen Vertrauen, was auch beim programmatischer Werbung von Vorteil ist. (Bild: <a href=https://pixabay.com/de/users/kiquebg-5133331/>kiquebg</a>)")
:quality(80)/p7i.vogel.de/wcms/fc/5d/fc5d51c434c66a36ab98ec88e33f3f11/0113457541.jpeg "Das Blockchain Competence Center Mittweida veranstaltet die gesamte Blockchain Autumn School 2023 über Zoom. (Bild: BCCM)")
:quality(80)/p7i.vogel.de/wcms/35/5b/355b75f20e735b8a4e5e14052b58477d/0113325597.jpeg "Basierend auf USD-Coin sollen die Programmable Wallets von Circle einfach integrierbare Crypto-Geldbörsen ermöglichen. (Bild: Circle)")
:quality(80)/p7i.vogel.de/wcms/e8/a2/e8a2ed56eaea2f9670ac8bfbefe10cc7/0113533673.jpeg "Copy-and-paste- oder Clipboard-Programming kann sich sehr negativ auf die Code-Qualität auswirken. (Bild: <a href?https://pixabay.com/users/chenspec-7784448/>chenspec</a>)")
:quality(80)/p7i.vogel.de/wcms/b7/64/b76475ee2a6f7435d75f28607817522d/0114100897.jpeg "Der Erfolg des Apple App Store fußt auf der großen Anzahl hochqualitativer Apps – ein Merkmal, das Apple selbst kontrolliert. (Bild: <a href=https://unsplash.com/@maria_shalabaieva>Mariia Shalabaieva</a>)")
:quality(80)/p7i.vogel.de/wcms/2b/5e/2b5e53a28c7068ca57358ee8c8b7e221/0114149037.jpeg "Das Java-21-Release ist das Ergebnis einer Zusammenarbeit zwischen Entwicklern von Oracle und der weltweiten Java-Developer-Community. (Bild: Oracle)")
:quality(80)/p7i.vogel.de/wcms/d9/4e/d94eaabfadf36353deeedf292c2bbb4a/0113966470.jpeg "GitLab hat rund 1000 Experten zum Stand der KI in der Softwareentwicklung befragen lassen. (Bild: GitLab)")
:quality(80)/p7i.vogel.de/wcms/20/a8/20a8a156f7da6e4f19c9243209dae51b/0113707453.jpeg "Die Zahl der Jenkins-Pipelines legte zwischen Juni 2021 und Juni 2023 deutlich zu. (Bild: Jenkins.io)")
:quality(80)/p7i.vogel.de/wcms/fa/66/fa667ce27d791e4d93731d0f17c58825/0113614284.jpeg "Freelance-Plattformen sollten nicht nur umfangreiche, sondern auch verlässliche Informationen über die Fähigkeiten der jeweiligen Entwickler bieten. (Bild: <a href=https://pixabay.com/users/oleksandrpidvalnyi-4638469/>Oleksandr Pidvalnyi</a>)")
:quality(80)/p7i.vogel.de/wcms/80/87/80875380ee678528982c0dcc073f0684/0114128044.jpeg "Die WSO2 API Platform for Kubernetes (APK) erweitert Kubernetes um API Management der Enterprise-Klasse. (Bild: WSO2)")
:quality(80)/p7i.vogel.de/wcms/31/3b/313b3faf1332dfba60bc4ab6867ae2f2/0113479952.jpeg "Durch den Einsatz der neuen APIs könnten Lucid-Anwender und -Partner verstärkt visuell zusammenarbeiten und so bestehende Arbeitsabläufe verbessern. (Bild: Lucid)")
:quality(80)/p7i.vogel.de/wcms/73/e2/73e2407821e9b97926d18c786b43a1dc/0113715722.jpeg "Rendered Text hat sich Gedanken zu den 12 besten Kubernetes-Tools gemacht. (Bild: <a href=https://unsplash.com/@growtika>Growtika</a>)")
:quality(80)/p7i.vogel.de/wcms/6b/e3/6be36ef98e76a698de9c93b777c7b38f/0113606383.jpeg "Kollaborativ, ressourcenschonend, transparent: Open-Source-Code folgt in vielerlei Hinsicht dem Gedanken der Nachhaltigkeit. (© weerapat1003 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/93/d5/93d5fd1b87f3649ef503933d229c71dc/0113760310.jpeg "Kein Grund mehr zu kämpfen: Die Frage, ob quelloffener Code sicherer als proprietärer Code ist, stellt sich eigentlich gar nicht mehr. (Bild: <a href=https://pixabay.com/users/tenleaf-6286534/>Yingnan Lu</a>)")
:quality(80)/p7i.vogel.de/wcms/1d/57/1d578f499e5af1dad699dc880b72e1ed/0113594566.jpeg "„Watsonx Code Assistant for Z“ von IBM soll Unternehmen dabei unterstützen, mit Hilfe von generativer KI und automatisierten Werkzeugen die Modernisierung ihrer Mainframe-Anwendungen voran zu bringen – mit dem Ziel, die Leistungsfähigkeit, Sicherheit und Ausfallsicherheit von „IBM Z“ zu erhalten. (Bild: frei lizenziert: Gerd Altmann)")
:quality(80)/p7i.vogel.de/wcms/7e/5a/7e5aac8b7041780b5065919ce0cbabf3/0113499457.jpeg "Zeremonielles Kreuz des „John Frum Cargo Cult“, auf der Insel Tanna im heutigen Vanuatu. (Bild: JohnFrumCrossTanna1967.jpg / Tim Ross - eigene Arbeit / CC BY 3.0)")
:quality(80)/p7i.vogel.de/wcms/d8/90/d890b7a3d8daf81956377a29a87efdd5/0113481871.jpeg "Das Scaled Agile Framework soll großen Unternehmen dabei helfen, agile Methoden zu adaptieren. (Bild: <a href=https://pixabay.com/users/snottyboggins-6421955/>SnottyBoggins</a>)")
:quality(80)/p7i.vogel.de/wcms/ec/0c/ec0cdde8e59873a426bf939ed52c38f3/0113355036.jpeg "Selbstbedienung ist beim Developer Self-Service ausdrücklich erwünscht. (Bild: <a href=https://pixabay.com/users/manfredrichter-4055600/><u>Manfred Richter</u></a>)")
:quality(80)/p7i.vogel.de/wcms/c2/21/c2213857722c33ef3d02db0acf33abc0/0112236476.jpeg "So sehen Chiselled Ubuntu containers aus – zumindest nach Auffassung der generativen KI DALL-E2. (Bild: Dall-E 2)")
:quality(80)/p7i.vogel.de/wcms/a9/6d/a96d15ff02a35fc84a9b65702395aa6b/0110694349.jpeg "Größenvergleich der gängigen Basis-Images (komprimiert und unkomprimiert). (Bild: Canonical)")
:quality(80)/p7i.vogel.de/wcms/ce/c1/cec146c6f112e79b71c56d37ee27145e/0105884802.jpeg "Das AWS Step Functions Workflow Studio ist ein visueller Editor, der sich insbesondere für das Prototyping von Workflows eignet. (Bild: Amazon Web Services)")
Erkennen und Blocken bösartiger Open-Source-Pakete und Schwachstellen Shift-Left-Sicherheit für Software-Lieferketten von JFrog
„JFrog Curation“ soll DevOps-Teams dabei helfen, bösartige Open-Source- oder Drittanbieter-Softwarepakete und ihre jeweiligen Abhängigkeiten zu erkennen und gegebenenfalls zu blockieren. Um dies automatisiert erledigen zu können, bietet das Tool eine zentralisierte Verwaltung.
JFrog Curation wird nativ in das „JFrog Artifactory Binary Repository integriert. Laut Hersteller ist das Produkt einzigartig in seiner Verwendung von binären Metadaten zur Identifizierung von bösartigen Paketen mit höherem Schweregrad von CVEs, Betriebs- oder Lizenzkonformitätsproblemen. Zum Beispiel entfalle die Notwendigkeit, jedes Paket vor der Verwendung zum Scannen herunterzuladen. Das wiederum erlaubt Geschwindigkeit und einen Komfort für Entwickler.
Asaf Karas, CTO of Security bei JFrog, erläutert: „Software-Entwickler nutzen Millionen von Open-Source-Komponenten, um die Projektabwicklung zu beschleunigen und sich einen Wettbewerbsvorteil zu verschaffen. Aber diese Praxis kann missbraucht werden, um bösartige Pakete und Schwachstellen in den Code einzuschleusen.“ Damit steige das Risiko von Angriffen auf die Software-Lieferkette.
Karas fordert: „Anwendungssicherheit muss ernst genommen und ganzheitlich betrachtet werden, von der Erstellung bis zur Laufzeit auf Edge-Geräten.“ Er setzt hinzu: „JFrog Curation hebt das ‚Shift Left‘-Konzept auf die nächste Stufe, indem es die Verwendung riskanter Open-Source-Softwarepakete automatisch blockiert, bevor sie in ein Unternehmen gelangen, und so die gesamte Angriffsfläche eines Unternehmens drastisch reduziert, ohne die Geschwindigkeit oder die Erfahrung der Entwickler zu beeinträchtigen.“
Die Relevanz
Das Verwenden von Open-Source-Software für die Entwicklung kommerzieller Anwendungen ist mittlerweile Mainstream. 87 Prozent der Befragten einer IDC-Umfrage geben an, dass Open-Source-Software ihre erste Wahl gegenüber anderen kommerziellen Optionen wäre. Im Jahr 2022 waren jedoch mehr als 10 Millionen Menschen von Angriffen auf die Software-Lieferkette betroffen, die rund 1.700 Unternehmen weltweit betrafen - fast alle davon enthielten ein Element von fehlerhaftem oder bösartigem Open-Source-Code.
Jim Mercer, IDC Research Vice President of DevOps and DevSecOps, stellt heraus: „Sicherheitsvorfälle wie ‚Log4Shell‘ und ‚Spring4Shell‘ haben uns gelehrt, dass das, was heute sicher ist, morgen möglicherweise nicht mehr sicher ist, wenn man öffentliche Open-Source-Bibliotheken verwendet.“ Es folgert: Tools, die die Entwicklererfahrung vereinfachen und gleichzeitig sicherstellen, dass die Pakete mit etablierten, regelmäßig aktualisierten Sicherheitsrichtlinien übereinstimmen und gegen relevante Schwachstellendatenbanken validiert werden, seien für die Sicherung von DevOps-Workflows unerlässlich.
Das Validieren der Softwarepakete
JFrog Curation validiert eingehende Softwarepakete anhand der „JFrog Security Research Bibliothek“ mit aufgezeichneten, so geannten Critical Vulnerabilities Exposures (CVE) und öffentlich zugänglichen Informationen, um ein vertrauenswürdiges Repository von vorab genehmigten Softwarekomponenten von Drittanbietern für die Verwendung in der Entwicklung zu schaffen. Durch die Verknüpfung von öffentlichen Paket-Repositories, Entwicklern, Produktion und Sicherheitsverantwortlichen kann JFrog Curation helden, die Effizienz zu verbessern und zeitaufwändige und kostspielige Nachbesserungen zu vermeiden.
Die Vorteile von JFrog Curation in der Übersicht, benennt der Hersteller wie folgt
- Das Tool kann Open-Source-Softwarekomponenten prüfen und blockieren, ohne die Erfahrung der Entwickler oder die Geschwindigkeit zu beeinträchtigen.
- Die Software bietet zentrale Sichtbarkeit und Governance jedes Open-Source-Pakets, das von einem Entwickler oder Build-Tool angefordert wird, mit genauen, auf Metadaten basierenden Einblicken in alle infizierten Pakete und mit umsetzbaren Ratschlägen zur Behebung.
- Es hilft, einen umfassenden und transparenten Prüfpfad zu erstellen, um Unternehmen bei der Einhaltung aktueller und neuer gesetzlicher Vorschriften zu unterstützen.
- Nutzer können die Erfahrung von Entwicklern durch reibungslosen, validierten Abruf von Softwarekomponenten verbessern.
- Die Integration in die JFrog Software Supply Chain Platform vermeidet eine unkontrollierte Ausbreitung verschiedener Tool-Suiten.
(ID:49676455)
:quality(80)/p7i.vogel.de/wcms/b1/d9/b1d9186ec53f51a38e42e80905286015/0107830994.jpeg "JFrog-CEO Shlomi Ben Haim: „Unsere Plattform fungiert als der zentrale Speicherort für die Binärdateien des Unternehmens – direkt im Herzen der Software-Lieferkette unserer Kunden.“ (Bild: JFrog)")
:quality(80)/p7i.vogel.de/wcms/c7/77/c7777327e05558a523e0d1561d34eee6/0105380843.jpeg "Sicherheitsprobleme müssen proaktiv angegangen werden, bevor sie schwerwiegende Auswirkungen haben. (Bild: © – Alex – stock.adobe.com)")