:quality(80)/p7i.vogel.de/wcms/5f/f4/5ff47683e4bc8de6cf2d484e627c58f2/0107845613.jpeg "Wir präsentieren die Gewinnerinnen und Gewinner der Dev-Insider Readers’ Choice Awards, (Bild: VIT)")
:quality(80)/p7i.vogel.de/wcms/55/d8/55d8de7a538dd09179a73c8038cf4147/0107796204.jpeg "Zum achten Mal verleihen die Insider-Portale die IT-Awards, nach zwei virtuellen Events wieder im Rahmen einer Abendgala. (Bild: Vogel IT-Medien)")
:quality(80)/images.vogel.de/vogelonline/bdb/1883400/1883452/original.jpg "Die Gewinner der diesjährigen IT-Awards stehen fest – und hier sind Ihre Dev-Insider-Preisträger: (Vogel IT-Medien)")
:quality(80)/images.vogel.de/vogelonline/bdb/1883900/1883949/original.jpg "Am 21. Oktober 2021 ab 13:00 Uhr erhalten die Gewinner der diesjährigen Leserwahl den Readers' Choice Dev-Insider Award 2021. (Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/2b/d2/2bd2a2bd745944b0a97df82c87881ddd/0110190340.jpeg "Golem Network will mit zwei experimentellen Dapp-Tools das Betreiben und Verwalten dezentraler Anwendungen vereinfachen. (Bild: Golem Network)")
:quality(80)/p7i.vogel.de/wcms/97/b4/97b4512d8bdd22fc625025679b63de85/0109465154.jpeg "Kunden erwarten heute, dass Anwendungen auch auf mobilen Endgeräten funktionieren. (Bild: © – tippapatt – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/84/53/8453e9510c0b5ec232436c67b757ec4c/0109343935.jpeg "Die Nonce sorgt für Ordnung innerhalb einer Blockkette, lässt sich aber auch aktiv für sicherheitsrelevante Aktivitäten nutzen. (Bild: <a href=https://pixabay.com/users/geralt-9301/>Gerd Altmann</a>)")
:quality(80)/p7i.vogel.de/wcms/c6/14/c614e97ce76ae02ed694f2660dee3efc/0110374544.jpeg "WebGoat ist eine bewusst unsicher konzipierte Docker-Anwendung. (Bild: © – anttoniart – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b4/12/b4126a87dc658d03d79de40f241b3738/0110245419.jpeg "Beim „Green Coding“ geht es darum, Software möglichst energieeffizient und damit nachhaltig zu programmieren. (Bild: © – ArtemisDiana – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/45/6e/456e267b716932fdb332be968e593118/0110255660.jpeg "Das britische Königshaus schützt seine Kronjuwelen – die Schätze der englischen Monarchie, die aus mehr als 100 Objekten mit einem geschätzten Wert in Milliardenhöhe bestehen – mit weltweit erstklassigen Sicherheitssystemen, darunter zwei Tonnen schwere Stahltüren und bombensicheres Glas. (Symbolbild:tomertu - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/06/8b/068b715609066fc32136cb84cba7787e/0110333503.jpeg "Die Architektur der Microsoft AKS Edge Essentials. (Bild: Microsoft)")
:quality(80)/p7i.vogel.de/wcms/7f/47/7f47414337bafb5fa6a0cac40dce6101/0109278962.jpeg "Die Möglichkeiten von Sysbox im Überblick. (Bild: <a href=https://github.com/nestybox/sysbox/tree/master/docs/figures>Nestybox via GitHub</a>)")
„Next Generation runC“ für eigene Container nutzen :quality(80)/p7i.vogel.de/wcms/2e/d9/2ed91d40782848e566b17756be9d0be0/0109334017.jpeg "Autoscaling steht im Gegensatz zum klassischen Hosting, für welches ein festgelegtes Leistungskontingent gebucht wird. (Bild: <a href=https://unsplash.com/de/@growtika>Growtika</a>)")
:quality(80)/p7i.vogel.de/wcms/dc/e1/dce1c2250d49f0b6068cfd98483a94ae/0109808486.jpeg "Auf dem Radar: Frost&Sullivan untersucht Cloud Native Application Protection Platforms (CNAPP). (Bild: frei lizenziert: OpenClipart-Vectors)")
:quality(80)/p7i.vogel.de/wcms/4d/76/4d763e8fab15113bc86a1b3a0ea99808/0110053611.jpeg "Cloud-gestützte Anwendungen machen Betriebsstrukturen schnell agil und modern. Damit werden Unternehmen vor allem für die Generation Z attraktiv. (Bild: tomertu - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/08/67/0867f5079d087a7e6c9b612322112040/0109901530.jpeg "DevOps-orientiertes Testdaten-Management bietet Datenmaskierung und weitere Ansätze, Compliance-Probleme zu lösen. (Bild: <a href=https://pixabay.com/users/geralt-9301/>Gerd Altmann</a>)")
:quality(80)/p7i.vogel.de/wcms/99/66/99664bb4deaa0658bb63829dc519ce37/0109263207.jpeg "Kein Ansatz für sich allein genommen eignet sich perfekt zur Produktivitätsmessung. Doch es stehen Optionen bereit, die sich den Anforderungen nähern können. (Bild: <a href=https://pixabay.com/users/tumisu-148124/>Tumisu</a>)")
:quality(80)/p7i.vogel.de/wcms/83/f4/83f4d78d8c458f643ef395a9898bba69/0109842805.jpeg "Databricks hat eine Visual Studio (VS) Code Extension vorgestellt. (Bild: Screenshot / Databricks)")
:quality(80)/p7i.vogel.de/wcms/a3/51/a351a0c0c6dad9d13c882bd69ee6ca42/0110012670.jpeg "Modelldatei zur Repräsentation des Schemas. (Bild: Krypzcyk & Bochkor / DbSchema)")
:quality(80)/p7i.vogel.de/wcms/e3/de/e3de24c10c696d41a2d2533020b59380/0109751159.jpeg "Vor dem Einsatz eines API-Typs sollte man die verfügbaren Ressourcen analysieren und die Anforderung der Anwendung genau definieren. (Bild: © vector_v - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/8c/69/8c69011ea441f70be8b619b91f24d294/0110241904.jpeg "Einstein GPT ist laut Salesforce die erste generative KI für CRM. (Bild: Salesforce)")
:quality(80)/p7i.vogel.de/wcms/64/91/6491be5132b77668c299ce6e466ca14c/0109296609.jpeg "Microcontroller-Boards gibt es zuhauf, wir stellen einige Arduino-Alternativen vor. (Bild: <a href=https://pixabay.com/users/aakelner-9429309/>Alexander Kelner</a>)")
:quality(80)/p7i.vogel.de/wcms/98/6e/986e5cd88216694a387f05aa50bfdb02/0110358940.jpeg "„So lösen Legacy-Systemen mit High-Performance Low-Code ab“, ein Interview von Oliver Schonschek, Insider Research, mit Lars Klein von S&D Software und Patrick Knapp von OutSystems. (Bild: Vogel IT-Medien / OutSystems / S&D Software / Schonschek)")
:quality(80)/p7i.vogel.de/wcms/05/0c/050cfe1ed1cc65b9a2e833c213a7edb0/0110021783.jpeg "Hinter Alphacode steht die Google-Tochter Deepmind. (Bild: <a href=https://alphacode.deepmind.com>Deepmind</a>)")
:quality(80)/p7i.vogel.de/wcms/7f/91/7f918bdb2e099f671f8eaa9ecb9ac694/0109877739.jpeg "GitHub Copilot nutzt den OpenAI Codex, um Code und ganze Funktionen direkt im Editor in Echtzeit vorzuschlagen. (Bild: GitHub)")
:quality(80)/p7i.vogel.de/wcms/72/2d/722d078bf7612e2a6d5d78a07977816d/0109865835.jpeg "KI-basierte Assistenz ist beim Programmieren aktuell für konkrete Anfragen sinnvoll und hält Developern bei Problemen den Rücken frei. (Bild: <a href=https://pixabay.com/users/computerizer-4588466/>Computerizer</a>)")
:quality(80)/p7i.vogel.de/wcms/a6/e1/a6e15b9f1a94c153e82d548c3dd90e61/0109476138.jpeg "Die Portabilität und Interoperabilität von Container-Technologien sind die wichtigsten Kernziele der Open-Container-Initiative. (Bild: <a href=https://www.pexels.com/@dibert/>David Dibert</a>)")
:quality(80)/p7i.vogel.de/wcms/ce/c1/cec146c6f112e79b71c56d37ee27145e/0105884802.jpeg "Das AWS Step Functions Workflow Studio ist ein visueller Editor, der sich insbesondere für das Prototyping von Workflows eignet. (Bild: Amazon Web Services)")
:quality(80)/p7i.vogel.de/wcms/f2/f1/f2f169cdcb2cd6e79ecb1d0a4c4cea24/0105427462.jpeg "IoT-Hersteller müssen ihre Geräte schnell und innerhalb des Budgets bereitstellen sowie gleichzeitig deren Sicherheit und Fernverwaltung gewährleisten. (Bild: Canonical)")
:quality(80)/images.vogel.de/vogelonline/bdb/1936900/1936970/original.jpg "Ablauf der Kubeflow-Installation in einer konformen Kubernetes-Umgebung. (charmed-kubeflow.io)")
Definition „Composition Analysis“ Was ist Software Composition Analysis?
Open-Source-Software hat ohne Frage ihre Vorteile. Software Composition Analysis schafft es dabei, eine automatisierte Lösung für die Erkennung von quelloffenen Komponenten bereitzustellen.
Die Software Composition Analysis (kurz SCA) ist Teil eines umfangreichen Application-Security-Tests und erkennt und verwaltet den Einsatz von Open Source-Komponenten. Für moderne Software-Entwicklerinnen und -Entwickler ist dies umso wichtiger geworden, da die Ansprüche der Industrie an Developer sich in den letzten Jahren verändert haben.
Schnelle und zuverlässige Applikationen können unter den veränderten zeitlichen Anforderungen nur noch dann bedient werden, wenn der Code nicht mehr komplett neu generiert werden muss. Libraries haben diesen Vorgang vereinfacht und schätzungsweise 60 bis 80 Prozent aller Applikationen setzen zu unterschiedlichen Teilen auf Open Source-Komponenten.
Dieser Einsatz muss jedoch auch entsprechend überwacht und verwaltet werden, um die Funktionalität und Sicherheit auf der einen Seite sowie die Einhaltung von Lizenzbestimmungen auf der anderen Seite zu gewährleisten. Je nach Umfang der OS-Komponenten in einer Applikation kann eine manuelle Verwaltung zu zeitaufwendig sein; automatisierte Methoden sind in diesem Falle deutlich effizienter.
Eine Software Composition Analysis schafft genau dies und protokolliert, verfolgt und und integriert Open-Source-Komponenten in den Code einer Applikation.
Vorteile der Software Composition Analysis
Die Bestandsaufnahme
- Bill of Materials: Die Bill of Materials (BoM) ist eine angelegte Software-Stückliste, die alle Komponenten beinhaltet, deren Versionsnummern und die Lizenzarten für jede Komponente. Als solche ist sie die Grundlage, um eine bessere Einschätzung zum Status einer Software und möglichen Sicherheitsrisiken zu ermöglichen.
- Open Source Tracking: Im nächsten Schritt verfolgt Software Composition Analysis alle Open Source-Komponenten in Containern, im Code, in den Subkomponenten, den Abhängigkeiten und in ihren modifizierten Varianten.
Die weitergehenden Möglichkeiten von SCA:
Korrekte Lizenzierung: Die License Compliance sammelt zu jedem Open-Source-Bestandteil wichtige Informationen zur Lizenz und Verwendung. So kann in der Praxis sichergestellt werden, dass Entwickler*innen Programmbestandteile entsprechend ihrer freigegebenen Lizenz verwenden und Attributionsrechte der Software-Autor*innen beachtet werden.
Schwachstellen in der Sicherheit: Die Hauptfunktion von Software Composition Analysis ist das Ausfindigmachen von bekannten Sicherheitslücken in verwendeten Open Source-Komponenten. Je nach Umfang der gewählten SCA-Lösung können Developer Schwachstellen und kritische Lücken nicht nur identifizieren, sondern auch definieren, ob der eigene Code die entsprechende Schwachstelle nutzt und ob Fixes zur Verfügung stehen. Dies gilt auch für Libraries und Komponenten, die Updates oder Patches benötigen, um vollständige Funktionalität zu gewährleisten.
Proaktives Monitoring: Für die meisten Einsatzszenarien ist die Wahl einer Software Composition Analysis von Vorteil, deren Einsatz proaktives und kontinuierliches Monitoring erlaubt. Dadurch können Updates und Patches schnell integriert werden und neu entdeckte Sicherheitslücken ausgemerzt.
Software Composition Analysis – inzwischen eine Notwendigkeit in der IT
Aufgrund der weiten Verbreitung von Open Source-Bestandteilen in nahezu allen Programmen müssen Entwickler*innen einfache Lösungen finden, um Sicherheit und Funktionalität zu gewährleisten und Unternehmen und deren User zu schützen.
Moderne Software Composition Analysis-Software ist auf den vermehrten Einsatz von Open Source auch an kritischen Stellen ausgerichtet und liefert nicht nur Bestandsaufnahme, Management und Monitoring, sondern in vielen Fällen auch eine automatische Berichtigung aller Schwachstellen. Schließlich geht es längst nicht mehr nur um das Aufspüren von Schwachstellen und Lizenzfehlern, sondern auch um die Priorisierung und die automatische Bereinigung. Zu den bekanntesten SCA-Lösungen zählen beispielsweise Black Duck by Synopsys, Veracode, Checkmarx, CAST Highlight oder FOSSA.
(ID:47146790)
:quality(80)/images.vogel.de/vogelonline/bdb/1955100/1955110/original.jpg "Open-Source-Komponenten werden nahezu überall und in jeder Branche eingesetzt, heißt es im OSSRA 2022 Report. (Synospys)")
:quality(80)/images.vogel.de/vogelonline/bdb/1930300/1930332/original.jpg "Das IDE-Plug-in „Code Sight Standard Edition“ steht im Visual-Studio-Marketplace zum Download bereit. (Synopsys)")