:quality(80)/p7i.vogel.de/wcms/c8/6b/c86bfadc9400e3859e5a8173b99872db/0114956871.jpeg "Für das große Gewinnerbild standen dann alle Preisträgerinnen und Preisträger noch einmal gemeinsam mit Moderatorin Margit Lievertz und Dev-Insider-Chefredakteur Stephan Augsten auf der Bühne. (Bild: krassevideos.de / VIT)")
:quality(80)/p7i.vogel.de/wcms/82/e2/82e20061fab6f1fc0561f023c6bfd2cc/0114109627.jpeg "Dev-Insider verleiht heute die IT-Awards 2023 in sechs Kategorien. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/5f/f4/5ff47683e4bc8de6cf2d484e627c58f2/0107845613.jpeg "Wir präsentieren die Gewinnerinnen und Gewinner der Dev-Insider Readers’ Choice Awards, (Bild: VIT)")
:quality(80)/p7i.vogel.de/wcms/55/d8/55d8de7a538dd09179a73c8038cf4147/0107796204.jpeg "Zum achten Mal verleihen die Insider-Portale die IT-Awards, nach zwei virtuellen Events wieder im Rahmen einer Abendgala. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/8c/54/8c54744c036ec61da10210ccedac6e6f/0115622026.jpeg "Automatisierte Sicherheit gehört für viele Unternehmen schon dazu, berichtet Synopsys. (Bild: PandaStockArt - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/7f/fa/7ffa1340ab62def05e1f90e0e829e170/0115309401.jpeg "Unternehmensweit sind eine engere Zusammenarbeit und eine gemeinsame Sichtbarkeit für alle Dev-, Sec- und Ops-Teams vonnöten. (Bild: Murrstock - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e8/10/e8103ad3c912d1b400312f5b58c2eddd/0114050691.jpeg "Der Autor: Andrej Nikonov ist KI-Experte und Geschäftsführer von Cloudflight München (Bild: Cloudflight)")
:quality(80)/p7i.vogel.de/wcms/a8/4d/a84d6e9a2b83c4638bac6813943e87e0/0115489095.jpeg "Kontinuierliches Testing über den gesamten Software Development Lifecycle hinweh will Veracode mit den neuen Lösungen noch besser unterstützen. (© ArtemisDiana - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/03/78/0378db755cdc799a84e4d47a02c8b898/0115139555.jpeg "Der Chatbot samt ChatGPT-Integration. (Bild: Lang / Botpress)")
:quality(80)/p7i.vogel.de/wcms/c6/77/c6778a56d0b6c6c4f0cd541bf8f87286/0115365909.jpeg "Die Linux-Kernel-Technologie eBPF hilft, Transparenz in die Kommunikation von Kubernetes-Clustern zu bringen. (Bild: <a href=https://unsplash.com/photos/background-pattern-GSiEeoHcNTQ>Growtika</a>)")
:quality(80)/p7i.vogel.de/wcms/ee/71/ee7167e6c8ba4f0af6075f0aedb53d94/0115097582.jpeg "Zwar entfällt das Infrastruktur-Management beim Serverless Computing weitestgehend, doch das wirft wiederum auch Nachteile auf. (Bild: <a href=https://pixabay.com/users/akitada31-172067/>Roman</a>)")
:quality(80)/p7i.vogel.de/wcms/3a/86/3a861660380c36be8f5c30437efc7f0c/0115482665.jpeg "Visual Studio Code lässt sich als ein Flatpak von Flathub beziehen und auf einer beliebigen unterstützen Distribution mit einem simplen Befehl einrichten. (Bild: Flathub.org / Microsoft)")
:quality(80)/p7i.vogel.de/wcms/14/7c/147c7bac4c8372a856eb6d7938b0295f/0115093862.jpeg "Von Key-Value-Stores über In-Memory- bis hin zu Graph-Datenbanken: NoSQL kennzeichnet sich durch verschiedene Typen, die oft kombiniert werden. (Bild: <a href=https://pixabay.com/users/placidplace-25572496/>Placidplace</a>)")
:quality(80)/p7i.vogel.de/wcms/51/1b/511b16729b1ca7ba78518feb2dd8bbf5/0114533620.jpeg "Sqlectron erleichtert die Datenbankadministration in heterogenen Umgebungen. (Bild: ©gorodenkoff, Getty Images via Canva.com)")
:quality(80)/p7i.vogel.de/wcms/7e/53/7e53270c23873649b7e27c3fec4b36f8/0115274382.jpeg "Technische Schulden häufen sich beinahe zwangsläufig an, Ki kann diesen Prozess leider deutlich beschleunigen. (Bild: <a href=https://unsplash.com/de/@and_machines>and machines</a>)")
:quality(80)/p7i.vogel.de/wcms/a2/6d/a26d6b9b81ed85fae9f94b4893ab44d3/0115643756.jpeg "Der Cyber Resilience Act soll die Besonderheiten in der Entwicklung von Open-Source-Projekten berücksichtigen. (© Duncan Andison - adobe.stock.com)")
:quality(80)/p7i.vogel.de/wcms/88/94/88946f4dedd1bf482b02fd8885d8eae0/0115579192.jpeg "Vielen Unternehmen fehlt der Überblick, welche APIs es gibt und wohin genau welche Daten mit welcher Kritikalität über diese Schnittstellen fließen. (Bild: Murrstock - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e6/a1/e6a1fdcb119277fc720bd9410701c4cf/0115261467.jpeg "Der Low- und No-Code-Trend verändert die Art und Weise, wie Unternehmen Apps für ihre Bedürfnisse erstellen. (Bild: <a href=https://pixabay.com/users/dinesh_pal-26281818/>Dinesh_pal</a>)")
:quality(80)/p7i.vogel.de/wcms/01/d0/01d02743d019010886e4fe0d47222d72/0115628204.jpeg "Der Autor Fabian Tröltzsch auf der w3.vision X DMEXCO 2023. (© koelnmesse)")
:quality(80)/p7i.vogel.de/wcms/7a/59/7a595755b165e6d0939b52bc4bb82e9d/0113646230.jpeg "Blockchain-Technologien schaffen Vertrauen, was auch beim programmatischer Werbung von Vorteil ist. (Bild: <a href=https://pixabay.com/de/users/kiquebg-5133331/>kiquebg</a>)")
:quality(80)/p7i.vogel.de/wcms/fc/5d/fc5d51c434c66a36ab98ec88e33f3f11/0113457541.jpeg "Das Blockchain Competence Center Mittweida veranstaltet die gesamte Blockchain Autumn School 2023 über Zoom. (Bild: BCCM)")
:quality(80)/p7i.vogel.de/wcms/31/d6/31d6c005205f8dde8b88c2130c4b64ce/0115047701.jpeg "Bei einer Variablen richtet sich die Wahl des optimalen Datentyps nach dem zu erwartenden Inhalt. (Bild: <a href=https://pixabay.com/users/kuszapro-369349/>Christopher Kuszajewski</a>)")
:quality(80)/p7i.vogel.de/wcms/96/41/96410d07dd40694b8b473af9054e730c/0115019701.jpeg "Vor dem Ausführen wird Code in eine maschinell lesbare Form gebracht – und hierfür sind feste Regeln sinnvoll. (Bild: <a href=https://pixabay.com/users/johnsonmartin-724525/>Johnson Martin</a>)")
:quality(80)/p7i.vogel.de/wcms/2f/8e/2f8ede1d9d1dc4ae64f9d1fdd8cffb8f/0115091212.jpeg "In seinem Selbstverständnis als DevSecOps-Anbieter bietet GitLab über die reine Code-Verwaltung mit Git hinaus viele weitere Funktionen. (Bild: GitLab)")
:quality(80)/p7i.vogel.de/wcms/c2/21/c2213857722c33ef3d02db0acf33abc0/0112236476.jpeg "So sehen Chiselled Ubuntu containers aus – zumindest nach Auffassung der generativen KI DALL-E2. (Bild: Dall-E 2)")
:quality(80)/p7i.vogel.de/wcms/a9/6d/a96d15ff02a35fc84a9b65702395aa6b/0110694349.jpeg "Größenvergleich der gängigen Basis-Images (komprimiert und unkomprimiert). (Bild: Canonical)")
:quality(80)/p7i.vogel.de/wcms/ce/c1/cec146c6f112e79b71c56d37ee27145e/0105884802.jpeg "Das AWS Step Functions Workflow Studio ist ein visueller Editor, der sich insbesondere für das Prototyping von Workflows eignet. (Bild: Amazon Web Services)")
Compliance und Sicherheit im OSS-Ökosystem Open-Source-Trends 2020
Gleichzeitig brachten die Pakete jedoch auch neue Open-Source-Inhalte in die Codebasis ein – oft unbeabsichtigt und unwissentlich. Ein Risiko nicht nur für die Sicherheit, sondern auch für die Compliance.
Anbieter zum Thema
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/107300/107370/65.png "pressebox_600x600_v2.png ()")
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/134700/134771/65.png "20200122-PNG-confluent_logo-denim.png ()")
:fill(fff,0)/p7i.vogel.de/companies/65/68/656863dbcf3d9/logo-devops-windhoff-group.png "logo-devops-windhoff-group (Windhoff Group)"){kind=logo}
Mit dem Aufkommen von Paketverwaltungssystemen ist die Verwendung von Open Source Software (OSS) in den vergangenen Jahren geradezu explodiert. Entwickler können nun transitive Abhängigkeiten eines bestimmten Pakets berechnen und so besser Konflikte vermeiden.
Open Source macht mittlerweile den Großteil von Software aus. Audits zeigen, dass Open-Source-Komponenten zwischen 50 bis 80 Prozent der Applikationen ausmachen. Eine genaue Dokumentation darüber, woher diese Komponenten stammen, geschweige denn, dass sie überhaupt in den Programmen enthalten sind, findet sich jedoch nur bei fünf Prozent der Unternehmen.
Der Exploit einer Apache-Struts-Schwachstelle bei dem US-Finanzdienstleister Equifax gilt hier immer noch als mahnendes Beispiel. Der Vorfall machte sehr deutlich, dass es schwierig ist, Code zu verwalten und zu schützen, wenn nicht bekannt ist, wie sich dieser zusammensetzt. Equifax hat also zumindest das Bewusstsein für Compliance- und Sicherheitsrisiken von OSS geschärft.
PCI, FDA und DSGVO
Die Nachfrage nach Open-Source-Monitoring und -Mediation ist zudem gestiegen. Dazu trägt sicherlich auch das verschärfte regulatorische Umfeld bei. Überall dort, wo personenbezogene Daten im Spiel sind (z. B. Kunden-Account im Online-Shop, Bankkonto) oder Geräte direkt für die Sicherheit von Personen verantwortlich sind (z. B. Healthcare), stoßen Entwickler auf strengere Vorschriften.
Im vergangenen Jahr 3hat das PCI Security Standards Council eine Norm eingeführt, um den elektronischen Zahlungsverkehr sicherer zu machen. Damit wurden Softwareunternehmen verpflichtet, Schwachstellen in Softwareanwendungen über die gesamten Software-Lieferkette hinweg kontinuierlich zu identifizieren und zu bewerten. Bereits vor dieser Regelung gehörte die Überwachung des OSS-Einsatzes zu den ausdrücklichen Empfehlungen. Neu ist der Schwerpunkt auf das kontinuierliche Scannen und Management.
Auch die US-amerikanische Lebensmittel- und Arzneimittelbehörde FDA legte 2019 neue Bestimmungen vor. Demnach müssen Hersteller als Teil des Zulassungsverfahren eine detaillierte Software-Stückliste (Cybersecurity Bill of Materials, CBOM) ihrer Medizinprodukte einreichen, ehe sie die Produkte am wichtigen US-Markt vertreiben können. Die Liste soll darüber hinaus Kunden wie Endanwendern beim Management und Monitoring sowie dem Schutz von Software-Assets unterstützen.
Und dann ist da auch noch DSGVO. Die Grundverordnung verpflichtet datenverarbeitende Unternehmen seit knapp zwei Jahren dazu, Maßnahmen zu ergreifen, um ein angemessene Sicherheitsniveau bei der Verarbeitung personenbezogener Daten zu gewährleisten. Das betrifft auch Open-Source-Designer und Programmierer und die von ihnen entwickelte Software.
Funktionen für die Abfrage von Einwilligungen, Datenverschlüsselungsprogramme sowie die Funktionalität der Website an sich müssen unter Berücksichtigung von Sicherheit, Transparenz, PbD (Privacy by Design) und konformen Datenschutzpraktiken entwickelt werden. Für Unternehmer, die Open-Source-Software verwenden, heißt das, eine vollständige Überprüfung ihrer Codes, Programme und Plattformen für das Online-Geschäft durchzuführen.
Spitze des Eisbergs – Umfang und Tiefe der Analyse
Angesichts der steigenden Zahl von Cyberangriffen und Sicherheitsverletzungen ist mit einem Nachlassen der regulatorischen Maßnahmen kaum zu rechnen. Damit steigt der Arbeitsaufwand für IT-Abteilungen und Entwickler-Teams weiter an. Bereits jetzt verbringen Verantwortliche einen großen Teil ihrer Zeit mit der Überprüfung und Behebung von Schwachstellen, während sie gleichzeitig operative Aufgaben zu erledigen haben, Innovationen entwickeln und die Digitalisierung auf den Weg bringen sollen.
Angesichts dessen evrwundert es nicht, dass die Nachfrage nach Lösungen für die automatisierte Erkennung von Schwachstellen und Compliance-Problemen steigt. Gefragt sind eine proaktive Offenlegung, risikobasierte Zielanalyse und datengestützte Priorisierung. Zwar verwenden die meisten Unternehmen bereits entsprechende Tools, doch sind diese sehr unterschiedlich und erlauben keine einheitliche Sicht auf die Daten und darüber, ob Richtlinien ganzheitlich über alle Systeme hinweg eingehalten werden.
Darüber hinaus handelt es sich bei vielen Lösungen um Quick Scans oder Easy Scans, die nur eine oberflächliche Analyse ermöglichen. Um in die Tiefen einer Codebasis einzutauchen, reichen diese Tools nicht aus. Pakete und Abhängigkeiten stellen nämlich nur die Spitze des Eisbergs dar. Unter der Wasseroberfläche verstecken sich viele Komponenten, von denen Entwickler nichts wissen oder in die sie nur ungenügend Einblick haben.
Dazu gehören Subkomponenten, Binärdateien ohne Manifestdateien, Multimedia-Dateien, Bilder/Icons, Codecs und Copy/Paste-Codes. In den meisten Fällen sind all diese Bestandteile an die eine oder andere Lizenz geknüpft. Copy/Paste-Code kann darüber hinaus unbekannte Schwachstellen enthalten. Für Softwareanbieter ist es daher unerlässlich, automatisierte Deep Scans und Software Composition Analysis über den gesamten IoT-Stack hinweg durchzuführen, um nicht zu kentern.
Die Zukunft von Open Source
Der Fahrplan für Open-Source-Software scheint damit klar. In den nächsten Jahren wird die Offenlegung von Code, die Software-BOM sowie Schadensersatz-Ansprüche zu einem festen Bestandteil der Software-Supply-Chain werden. Ziel wird es sein, dass ein Unternehmen beim Kauf von Code über einen Anbieter automatisch eine vollständige Offenlegung der darin enthaltenen Open-Source-Inhalte sowie entsprechenden Sicherheits-Zertifikaten erhält.
Der Trend zur „Open Chain“ wird breitere Akzeptanz finden und ein Framework für die Einhaltung von Compliance-Prozessen bereitstellen. Das Interesse an vorab geprüften „goldenen“ OSS-Komponenten aus Artefakt-Repositories ist bereits heute groß. Diese Repositories legen strenge Richtlinien hinsichtlich der weiteren Verwendung fest und stellen sichere Artefakte bereit, die bei bekannt gewordenen Schwachstellen unmittelbar unter Quarantäne gestellt werden. Grundsätzlich wird es bei den Repositories zu einer Konsolidierung kommen, die es Entwicklern erleichtert, den richtigen Code zu erhalten.
Langfristig wird sich die Priorisierung und das gezielte Management von einzelnen Sicherheits- und Compliance-Risiken zum Standard entwickeln. Anstatt also viel Zeit aufzuwenden, um große Datenmengen zu überprüfen, werden Systeme automatisch relevante Vorfälle ermitteln und den Sicherheitsbeauftragten melden.
Künstliche Intelligenz und Machine Learning werden diese Entwicklung weiter vorantreiben. Voraussetzung für diese smarten, selbstheilenden Lösungen sind das Verstehen menschlichen Verhaltens sowie das Heranziehen vergangener Praktiken und Maßnahmen als Ausgangspunkt für Handlungsempfehlungen und Best Practices.
Eine Frage des Trainings
Während Unternehmen sich bei der Einhaltung von OSS-Lizenzen und dem Management von Sicherheitsrisiken auf ein neues Level zu bewegen, bleibt die Frage nach einheitlichen Trainingsstandards offen. In vielen Unternehmen fehlt es Entwicklern an spezifischem Wissen, was die Open-Source-Lizenzierung und sichere Coding-Verfahren angeht.
Diese Lücke zeigt sich bereits in den Lehrprogrammen höherer Bildungseinrichtungen. Nach einem Bericht von Forrester Research bietet keine der 40 für ihren Informatikstudiengang bekannten US-Universitäten OSS-Lizenzierung oder sicheres Codieren als eigenständigen Kurs an. In den Top 5 der internationalen Universitäten fehlen die Themen ebenfalls auf dem Studienplan. Hier herrscht dringend Nachholbedarf.
In der Zwischenzeit ist es an den Unternehmen, Mitarbeiter umfassend zu schulen. Wie sehen die Best Practices im Unternehmen im Umgang mit Intellectual Property aus? Welche Schritte empfehlen sich, um Sicherheits- oder Compliance-Probleme frühzeitig zu erkennen? Wie schreibt man lizenzkonformen und sicheren Code? Die Antworten auf diese Fragen sollten fester Bestandteil des Onboarding-Prozesses eines jeden neuen Mitarbeiters sein.
Eine kurzfristige Lösung kann auch die Entwicklung interner Richtlinien über ein funktionsübergreifendes Team-Buy-In darstellen. Darüber hinaus bieten sich Open Source Review Boards (OSRBs) als guter Ausgangspunkt an, um Rechts-, Entwicklungs-, Sicherheits-, IT- und Führungsteams an einen Tisch zu bringen und Richtlinien festzulegen sowie Leitfäden zu erstellen. So lässt sich unternehmensweit Compliance, IP-Schutz und Sicherheit bei der Nutzung von Open Source praktisch umsetzen.
Für die IT-Branche gibt es also noch viel zu tun. Die Open Source Community lebt seit jeher vom Austausch und der Zusammenarbeit von Entwicklern. Softwareanbieter und Technologie-Unternehmen wiederum sind auf Open Source angewiesen, um kosteneffizient und im schnellen Tempo Innovationen auf den Markt bringen zu können. Das gemeinsame Ziel muss es daher sein, ein gesundes Open-Source-Ökosystem aufzubauen, in dem sowohl Compliance als auch Sicherheit im Mittelpunkt stehen.
* Nicole Segerer ist Head of IoT Deutschland, Österreich und Schweiz bei Flexera.
(ID:46292281)
:quality(80)/p7i.vogel.de/wcms/c4/d5/c4d5f080ecab3d2f47e56105ea3de667/0111155618.jpeg "Unabhängig von der Debatte um das GPL-SaaS-Schlupfloch sollten Software-Anbieter die Lizenzen von OSS-Komponenten genau im Blick behalten. (Bild: <a href=https://pixabay.com/users/prettysleepy-2973588/>Amy</a>)")
:quality(80)/p7i.vogel.de/wcms/a6/b6/a6b65ea5946ffa87bc34d11d6c58c9ff/0109959919.jpeg "Eine SBOM listet sämtliche Komponenten einer Softwareanwendung samt wichtiger Informationen zu Lizenzierung und Sicherheit. (Bild: <a href=https://pixabay.com/users/camellia_sasanqua-2366387/>sasanqua camellia</a>)")