Application SecurityKostenfreie Software Composition Analysis
Log4j, Heartbleed, Shellshock...
Sicherheitslücken in weit verbreiteten Open Source-Komponenten sind nicht nur zeitraubend zu beheben und extrem nervig, sondern gefährden explizit die Sicherheit Ihrer Anwendungen.
Schätzungsweise 60 bis 80 Prozent aller Applikationen setzen zu unterschiedlichen Teilen auf Open Source-Bestandteile. Wissen Sie, welche potentiellen Risiken sich in Ihren Anwendungen noch verstecken?
Wir analysieren kostenfrei die Open Source Software-Komponenten einer von Ihnen gewählten Applikation.
Ansprechpartner
Was ist eine Software Composition Analysis?
Die regelmäßige Analyse aller Softwarekomponenten, die in einer Anwendung zum Einsatz kommen, mindert die systemischen Risiken für Angriffe auf Ihre Applikationen.
Denn bei einem Angriff werden die kompromittierten Komponenten den Schadcode mit den entsprechenden Berechtigungen ausführen - unabhängig davon, wo sie eingesetzt werden.
Aufgrund der weiten Verbreitung von Open Source Software in nahezu allen Programmen benötigen Entwickler:innen heute mehr denn je einfache und effektive Lösungen, um die Sicherheit und Funktionalität ihrer Anwendungen zu gewährleisten und Unternehmen und deren User zu schützen.
Wenn Ihre Entwickler:innen Open Source Software nutzen - was mehr al 90 Prozent tun - ist es wichtig, ein Open Source Software Composition Analysis (SCA) Tool zu verwenden. Damit lässt sich feststellen, welche Open Source-Komponenten Sie verwenden und ob diese verwundbar sind. Ein weiterer wichtiger Punkt ist es, sicherzustellen, dass die Schwachstellendatenbank, welche Ihr SCA-Tool verwendet, immer aktuell ist.
Agent based SCA
- Ermöglicht es Quellcode-Repsitories direkt zu scannen
- Entweder manuell über die Befehlszeile oder eingebunden in einer CI-/CD-Pipeline
- Kann direkt während der Softwareentwicklung genutzt werden
- Projekt-Scans können mit Anwendungsprofilen verknüpft werden, um die Einhaltung von Richtlinien zu gewährleisten
Statische SCA
- Verschlüsselter Upload des Quellcodes oder von Binärdateien in die Plattform
- Scans werden über die Benutzeroberfläche oder eine API ausgeführt
- Während der Pre-Scan-Evaluierung für statische Scans wird der SCA-Scan ausgeführt, um die Zusammensetzung der Anwendung zu überprüfen
- Ergebnisse werden bereits geliefert, während der statische Scan fortgesetzt wird
Was kann die SCA-Analyse von Veracode?
Die Software Composition Analyse (SCA) von Veracode erkennt und identifiziert Schwachstellen in Open-Source-Anwendungsbibliotheken. Sie ermöglicht es Ihnen, Open-Source-Abhängigkeiten auf bekannte Schwachstellen zu scannen und datengestützte Empfehlungen für Versions-Upgrades zu erhalten, bevor Sie die Änderung automatisieren.
Zudem ermöglicht SCA Ihnen, einen umfassenden, zentralisierten Einblick in verschiedene Umgebungen und Anwendungen zu erhalten und so Fehler frühzeitig zu erkennen.
Sie haben Fragen?
Gern stehen wir Ihnen mit Know-how, konkreten Unterstützungsleistungen und zugehörigen Lizenz- und Supportangeboten zur Verfügung.
