:quality(80)/p7i.vogel.de/wcms/5f/f4/5ff47683e4bc8de6cf2d484e627c58f2/0107845613.jpeg "Wir präsentieren die Gewinnerinnen und Gewinner der Dev-Insider Readers’ Choice Awards, (Bild: VIT)")
:quality(80)/p7i.vogel.de/wcms/55/d8/55d8de7a538dd09179a73c8038cf4147/0107796204.jpeg "Zum achten Mal verleihen die Insider-Portale die IT-Awards, nach zwei virtuellen Events wieder im Rahmen einer Abendgala. (Bild: Vogel IT-Medien)")
:quality(80)/images.vogel.de/vogelonline/bdb/1883400/1883452/original.jpg "Die Gewinner der diesjährigen IT-Awards stehen fest – und hier sind Ihre Dev-Insider-Preisträger: (Vogel IT-Medien)")
:quality(80)/images.vogel.de/vogelonline/bdb/1883900/1883949/original.jpg "Am 21. Oktober 2021 ab 13:00 Uhr erhalten die Gewinner der diesjährigen Leserwahl den Readers' Choice Dev-Insider Award 2021. (Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/7a/59/7a595755b165e6d0939b52bc4bb82e9d/0113646230.jpeg "Blockchain-Technologien schaffen Vertrauen, was auch beim programmatischer Werbung von Vorteil ist. (Bild: <a href=https://pixabay.com/de/users/kiquebg-5133331/>kiquebg</a>)")
:quality(80)/p7i.vogel.de/wcms/fc/5d/fc5d51c434c66a36ab98ec88e33f3f11/0113457541.jpeg "Das Blockchain Competence Center Mittweida veranstaltet die gesamte Blockchain Autumn School 2023 über Zoom. (Bild: BCCM)")
:quality(80)/p7i.vogel.de/wcms/35/5b/355b75f20e735b8a4e5e14052b58477d/0113325597.jpeg "Basierend auf USD-Coin sollen die Programmable Wallets von Circle einfach integrierbare Crypto-Geldbörsen ermöglichen. (Bild: Circle)")
:quality(80)/p7i.vogel.de/wcms/4a/2c/4a2c83570cf413a53acc88791127985b/0113689146.jpeg "UX- und UI-Design müssen sich auf immer neue Trends einstellen, es gibt allerdings auch einige festgeschriebene Grundregeln. (Bild: <a href=https://unsplash.com/@karlsolano>Karl Solano</a>)")
:quality(80)/p7i.vogel.de/wcms/1c/21/1c217e175ccf86245c86b48a7a70f930/0114270577.jpeg "Sysdig und Checkmarx führen Cloud- und Anwendungssicherheit auf einer Plattform zusammen. (Bild: William)")
:quality(80)/p7i.vogel.de/wcms/58/19/5819c761ed85847bcd078190acf7ad4f/0114215872.jpeg "Die Beta von GitHub Copilot Chat ist fortan für alle User von Visual Studio und VS Code verfügbar. (Bild: GitHub)")
:quality(80)/p7i.vogel.de/wcms/5e/08/5e0825016fa505d43decf6f23fcd5047/0114270026.jpeg "Die Open Source Pentest-Tools Legion, sqlmap, Zed Attack Proxy, OpenSCAP, Karkinos und Scapy helfen Admins bei der Schwachstellensuche. (Bild: Nmedia - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/02/ca/02caa38db6be1bcce330d6bb35d8742e/0114195179.jpeg "Langeweile lassen Developer nicht lange auf sich sitzen, der Arbeitgeber ist schnell gewechselt. (Bild: Leonardo.ai)")
:quality(80)/p7i.vogel.de/wcms/d9/4e/d94eaabfadf36353deeedf292c2bbb4a/0113966470.jpeg "GitLab hat rund 1000 Experten zum Stand der KI in der Softwareentwicklung befragen lassen. (Bild: GitLab)")
:quality(80)/p7i.vogel.de/wcms/6d/7b/6d7bd893f3034b22e9515d03f4a2bcf8/0114243416.jpeg "Lens AppIQ richtet sich laut Mirantis insbesondere an IT-Fachkräfte, die täglich mit Kubernetes arbeiten müssen. (Bild: Mirantis)")
:quality(80)/p7i.vogel.de/wcms/dd/64/dd64a3e1d07ca90d00b83de559c2512d/0113887944.jpeg "„Edge-Computing ist kein bestimmter Ort oder Gerätetyp, sondern eher ein Kontinuum von Standorten, die vom zentralisierten Cloud-Computing entfernt sind“, so Autor Sebastian Scheele. Trotzdem eignen sich Cloud-Native-Technologien, insbesondere Kubernetes, um an der Edge Computing zu betreiben. (Bild: frei lizenziert: distelAPPArath)")
:quality(80)/p7i.vogel.de/wcms/80/87/80875380ee678528982c0dcc073f0684/0114128044.jpeg "Die WSO2 API Platform for Kubernetes (APK) erweitert Kubernetes um API Management der Enterprise-Klasse. (Bild: WSO2)")
:quality(80)/p7i.vogel.de/wcms/bf/88/bf88d3e9f2f3c4cd391fc2218d8eca4c/0114136576.jpeg "Generative KI sollte als unterstützendes Tool verantwortungsbewusst eingesetzt werden. (© ipopba - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b7/64/b76475ee2a6f7435d75f28607817522d/0114100897.jpeg "Der Erfolg des Apple App Store fußt auf der großen Anzahl hochqualitativer Apps – ein Merkmal, das Apple selbst kontrolliert. (Bild: <a href=https://unsplash.com/@maria_shalabaieva>Mariia Shalabaieva</a>)")
:quality(80)/p7i.vogel.de/wcms/45/93/45930907cccf8cb2ca621cb6555cf717/0114183021.jpeg "SQL-Datenbanken lassen sich unproblematisch hin zu PostgreSQL migrieren, Unternehmen sollten diesen Schritt trotzdem gut vorbereiten. (Bild: Leonardo.ai)")
:quality(80)/p7i.vogel.de/wcms/2b/5e/2b5e53a28c7068ca57358ee8c8b7e221/0114149037.jpeg "Das Java-21-Release ist das Ergebnis einer Zusammenarbeit zwischen Entwicklern von Oracle und der weltweiten Java-Developer-Community. (Bild: Oracle)")
:quality(80)/p7i.vogel.de/wcms/e8/a2/e8a2ed56eaea2f9670ac8bfbefe10cc7/0113533673.jpeg "Copy-and-paste- oder Clipboard-Programming kann sich sehr negativ auf die Code-Qualität auswirken. (Bild: <a href?https://pixabay.com/users/chenspec-7784448/>chenspec</a>)")
:quality(80)/p7i.vogel.de/wcms/7e/5a/7e5aac8b7041780b5065919ce0cbabf3/0113499457.jpeg "Zeremonielles Kreuz des „John Frum Cargo Cult“, auf der Insel Tanna im heutigen Vanuatu. (Bild: JohnFrumCrossTanna1967.jpg / Tim Ross - eigene Arbeit / CC BY 3.0)")
:quality(80)/p7i.vogel.de/wcms/d8/90/d890b7a3d8daf81956377a29a87efdd5/0113481871.jpeg "Das Scaled Agile Framework soll großen Unternehmen dabei helfen, agile Methoden zu adaptieren. (Bild: <a href=https://pixabay.com/users/snottyboggins-6421955/>SnottyBoggins</a>)")
:quality(80)/p7i.vogel.de/wcms/ec/0c/ec0cdde8e59873a426bf939ed52c38f3/0113355036.jpeg "Selbstbedienung ist beim Developer Self-Service ausdrücklich erwünscht. (Bild: <a href=https://pixabay.com/users/manfredrichter-4055600/><u>Manfred Richter</u></a>)")
:quality(80)/p7i.vogel.de/wcms/c2/21/c2213857722c33ef3d02db0acf33abc0/0112236476.jpeg "So sehen Chiselled Ubuntu containers aus – zumindest nach Auffassung der generativen KI DALL-E2. (Bild: Dall-E 2)")
:quality(80)/p7i.vogel.de/wcms/a9/6d/a96d15ff02a35fc84a9b65702395aa6b/0110694349.jpeg "Größenvergleich der gängigen Basis-Images (komprimiert und unkomprimiert). (Bild: Canonical)")
:quality(80)/p7i.vogel.de/wcms/ce/c1/cec146c6f112e79b71c56d37ee27145e/0105884802.jpeg "Das AWS Step Functions Workflow Studio ist ein visueller Editor, der sich insbesondere für das Prototyping von Workflows eignet. (Bild: Amazon Web Services)")
Definition „Composition Analysis“ Was ist Software Composition Analysis?
Anbieter zum Thema
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/107300/107370/65.png "pressebox_600x600_v2.png ()")
Open-Source-Software hat ohne Frage ihre Vorteile. Software Composition Analysis schafft es dabei, eine automatisierte Lösung für die Erkennung von quelloffenen Komponenten bereitzustellen.
Die Software Composition Analysis (kurz SCA) ist Teil eines umfangreichen Application-Security-Tests und erkennt und verwaltet den Einsatz von Open Source-Komponenten. Für moderne Software-Entwicklerinnen und -Entwickler ist dies umso wichtiger geworden, da die Ansprüche der Industrie an Developer sich in den letzten Jahren verändert haben.
Schnelle und zuverlässige Applikationen können unter den veränderten zeitlichen Anforderungen nur noch dann bedient werden, wenn der Code nicht mehr komplett neu generiert werden muss. Libraries haben diesen Vorgang vereinfacht und schätzungsweise 60 bis 80 Prozent aller Applikationen setzen zu unterschiedlichen Teilen auf Open Source-Komponenten.
Dieser Einsatz muss jedoch auch entsprechend überwacht und verwaltet werden, um die Funktionalität und Sicherheit auf der einen Seite sowie die Einhaltung von Lizenzbestimmungen auf der anderen Seite zu gewährleisten. Je nach Umfang der OS-Komponenten in einer Applikation kann eine manuelle Verwaltung zu zeitaufwendig sein; automatisierte Methoden sind in diesem Falle deutlich effizienter.
Eine Software Composition Analysis schafft genau dies und protokolliert, verfolgt und und integriert Open-Source-Komponenten in den Code einer Applikation.
Vorteile der Software Composition Analysis
Die Bestandsaufnahme
- Bill of Materials: Die Bill of Materials (BoM) ist eine angelegte Software-Stückliste, die alle Komponenten beinhaltet, deren Versionsnummern und die Lizenzarten für jede Komponente. Als solche ist sie die Grundlage, um eine bessere Einschätzung zum Status einer Software und möglichen Sicherheitsrisiken zu ermöglichen.
- Open Source Tracking: Im nächsten Schritt verfolgt Software Composition Analysis alle Open Source-Komponenten in Containern, im Code, in den Subkomponenten, den Abhängigkeiten und in ihren modifizierten Varianten.
Die weitergehenden Möglichkeiten von SCA:
Korrekte Lizenzierung: Die License Compliance sammelt zu jedem Open-Source-Bestandteil wichtige Informationen zur Lizenz und Verwendung. So kann in der Praxis sichergestellt werden, dass Entwickler*innen Programmbestandteile entsprechend ihrer freigegebenen Lizenz verwenden und Attributionsrechte der Software-Autor*innen beachtet werden.
Schwachstellen in der Sicherheit: Die Hauptfunktion von Software Composition Analysis ist das Ausfindigmachen von bekannten Sicherheitslücken in verwendeten Open Source-Komponenten. Je nach Umfang der gewählten SCA-Lösung können Developer Schwachstellen und kritische Lücken nicht nur identifizieren, sondern auch definieren, ob der eigene Code die entsprechende Schwachstelle nutzt und ob Fixes zur Verfügung stehen. Dies gilt auch für Libraries und Komponenten, die Updates oder Patches benötigen, um vollständige Funktionalität zu gewährleisten.
Proaktives Monitoring: Für die meisten Einsatzszenarien ist die Wahl einer Software Composition Analysis von Vorteil, deren Einsatz proaktives und kontinuierliches Monitoring erlaubt. Dadurch können Updates und Patches schnell integriert werden und neu entdeckte Sicherheitslücken ausgemerzt.
Software Composition Analysis – inzwischen eine Notwendigkeit in der IT
Aufgrund der weiten Verbreitung von Open Source-Bestandteilen in nahezu allen Programmen müssen Entwickler*innen einfache Lösungen finden, um Sicherheit und Funktionalität zu gewährleisten und Unternehmen und deren User zu schützen.
Moderne Software Composition Analysis-Software ist auf den vermehrten Einsatz von Open Source auch an kritischen Stellen ausgerichtet und liefert nicht nur Bestandsaufnahme, Management und Monitoring, sondern in vielen Fällen auch eine automatische Berichtigung aller Schwachstellen. Schließlich geht es längst nicht mehr nur um das Aufspüren von Schwachstellen und Lizenzfehlern, sondern auch um die Priorisierung und die automatische Bereinigung. Zu den bekanntesten SCA-Lösungen zählen beispielsweise Black Duck by Synopsys, Veracode, Checkmarx, CAST Highlight oder FOSSA.
(ID:47146790)
:quality(80)/p7i.vogel.de/wcms/8f/4c/8f4cf0cf1b6d5b17b20a1a7415b70b0a/0107020397.jpeg "Wer die US-Regierung zu seinen Kunden zählen will, muss seit Mai 2021 eine Software-BOM für jedes Produkt bereitstellen. (Bild: Revenera)")
:quality(80)/p7i.vogel.de/wcms/5e/d6/5ed6295a936c38aefce9da4512c34692/0113337647.jpeg "Software-Stücklisten helfen dabei, die verwendeten Open-Source- und Drittanbieter-Komponenten im Blick zu behalten. (© Song_about_summer - stock.adobe.com)")