:quality(80)/p7i.vogel.de/wcms/70/1b/701b2f09237f7a68d1af1d08f1dd514b/0111566424.jpeg "(Bild: ISC)")
:quality(80)/p7i.vogel.de/wcms/bc/d2/bcd23ec7c420e5667e019642df7b3142/0111596876.jpeg "Das Patch Location Rack COMFORT von Rosenberger OSI optimiert unter anderem die Flächennutzung in Rechenzentrum. (Bild: Rosenberger OSI)")
:quality(80)/p7i.vogel.de/wcms/c4/8c/c48cae1bb466095e74d332d41cea9afd/0111518188.jpeg "Supermicros neue Server auf Intel-Basis – im Bild die 4-Sockel-Variante – sind für anspruchsvolle Unternehmensanwendungen konzipiert. (Bild: Supermicro)")
:quality(80)/p7i.vogel.de/wcms/e3/09/e3096d6dce558738c51c5ca878041061/0107846251.jpeg "Am 20. Oktober 2022 konnten die Gewinner der diesjährigen Leserwahl zu den DataCenter-Insider-Awards ihre Preise bei einer Abendgala in Empfang nehmen. (Bild: Vogel IT-Medien GmbH)")
:quality(80)/p7i.vogel.de/wcms/d0/4e/d04ed61cedb2e95dd4239fe7dc09da1c/0107796204.jpeg "Zum achten Mal verleihen die Insider-Portale die IT-Awards, nach zwei virtuellen Events wieder im Rahmen einer Abendgala. (Bild: Vogel IT-Medien)")
:quality(80)/images.vogel.de/vogelonline/bdb/1953100/1953154/original.jpg "Die Leserwahl zum DataCenter-Insider-Award hat begonnen. (Vogel IT-Medien GmbH)")
:quality(80)/images.vogel.de/vogelonline/bdb/1883400/1883458/original.jpg "Die Gewinner der diesjährigen IT-Awards stehen fest – und hier sind Ihre DataCenter-Insider-Preisträger: (Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/00/34/0034811caf1b1e5a12ceb8602a6445e5/0111320016.jpeg "(Bild: frei lizenziert/David Mark)")
:quality(80)/p7i.vogel.de/wcms/34/78/34787097bbc94a744fd61f3b69868659/0111519907.jpeg "Im Podcast und im Artikel erörtern SAP-Berater Ingo Biermann von Mindsquare und Autor Jürgen Frisch, wie sich mithilfe einer Matrix das jeweils richtige SAP-Betriebsmodell für ein Unternehmen finden lässt. (Bild: frei lizenziert: Gerd Altmann)")
:quality(80)/p7i.vogel.de/wcms/3e/34/3e34e067ca4ef47e08a284da91891506/0111697475.jpeg "3D-Visualisierung des geplanten Rechenzentrums der Data Center Group für DATA CASTLE. (Bild: Data Center Group)")
:quality(80)/p7i.vogel.de/wcms/02/1e/021e7b913bdc1580f04f4f52fb0a26aa/0111697730.jpeg "Durchdachte Planung und regelmäßige Wartung können das Brandrisiko in Rechenzentren deutlich reduzieren. (Bild: High Knowledge)")
:quality(80)/p7i.vogel.de/wcms/97/b4/97b43c1d39bd184857a2d757cabc077a/0111528829.jpeg "Im Rahmen ihrer neuen Partnerschaft bieten Pure Storage und MongoDB Anwenderunternehmen die Möglichkeit, MongoDB Enterprise Advanced in Portworx zu integrieren. (Bild: vladimircaribb - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/20/f2/20f2e318c698a68478457e7674ca7aa9/0111369708.jpeg ""Azure-Datendienste und -Verwaltung für Cloud und On-Premises", ein Interview von Oliver Schonschek, Insider Research, mit Dieter Vollmar und Elmar Szych von Dell Technologies. (Bild: Vogel IT-Medien / Dell Technologies / Schonschek)")
:quality(80)/p7i.vogel.de/wcms/a1/9d/a19dee1e371678c0ebfd21039f875d0c/0111539824.jpeg "Die Technische Hochschule für angewandte Wissenschaften Würzburg-Schweinfurt hat im vergangenen Jahr ein Projekt zur Geo-Informatik aufgesetzt. Jetzt erläutern zwei Projektpartner im Interview, welche Hoffnungen und Chancen sich mit dieser IT-Disziplin verbinden. (Bild: frei lizenziert: stokpic )")
:quality(80)/p7i.vogel.de/wcms/5a/99/5a99a90b8c5b7d910e6e1fd96d12afca/0111440931.jpeg "Im Zuge des aktuellen Updates erhält die Appian-Plattform zahlreiche Erweiterungen. (Bild: Appian)")
:quality(80)/p7i.vogel.de/wcms/af/de/afdef92cdcfb7b8f16d182106f11c8ba/0111347047.jpeg "enexion berät Unternehmen rund um die Herausforderungen der kommenden ESG-Pflichten. (Bild: AndreasAux)")
:quality(80)/p7i.vogel.de/wcms/2c/44/2c44122aa037f937cda109ca4da17366/0111238449.jpeg "Mehr eine schwankende Boje als ein Rettungsanker und schon erst recht kein fester, festgefügter Untergrund: Versicherungen für IT und Rechenzentren (Bild: frei lizenziert: harmonies Pix )")
:quality(80)/p7i.vogel.de/wcms/d6/25/d625bf1a1112a0857040d98976980a3f/0111134881.jpeg "In welchen Fällen ist der Einsatz von „ChatGPT-4“ ein echter Gewinn, so dass ein Unternehmen dafür zahlen sollte? (Bild: frei lizenziert: Hans)")
:quality(80)/p7i.vogel.de/wcms/ab/ce/abceed83fe3230a26fd08ac7ad2b819c/0112002448.jpeg "Das Tier-II-Rechenzentrum von Euclyde in Straßburg mit 720 Quadratmeter Whitespace wurde im September 2022 eröffnet. (Bild: Euclyde Data Centers)")
:quality(80)/p7i.vogel.de/wcms/d1/44/d144571fde746d773ab85834f446300f/0111538207.jpeg "„Ein Lippenbekenntnis reicht hier nicht aus“, sagt Daniel Fratte, Lead Software Engineer & Green Tech Lead bei Thoughtworks. Die Unternehmen müssen eine umfassende und verpflichtende Nachhaltigkeitsstrategie entwickeln. (Bild: frei lizenziert: Colin Behrens )")
:quality(80)/p7i.vogel.de/wcms/6f/86/6f863dc3af201032635925105d9f964d/0111291252.jpeg "Das VMware Multi-Cloud-Betriebsmodell stellt Unternehmen ein Framework zur Verfügung, das Geschäfts- und IT-Strategie verbindet. (Bild: VMware)")
:quality(80)/p7i.vogel.de/wcms/b4/be/b4befd65863d5b16ccd44c13589aea29/0111409422.jpeg "WebAssembly ermöglicht die Ausführung von Code auf verschiedenen Zielgeräten ohne plattformspezifische Anpassungen schneller und performanter als in Containern. Das macht die Laufband-Technologie sowohl für die Verabeitung an der Edge interessant als auch im Rechenzentrum. (Bild: Photocreo Bednarek - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/66/8e/668e2f389536c6ac0adb50ef7fe2f080/0111352366.jpeg "(Bild: Dell)")
:quality(80)/p7i.vogel.de/wcms/1d/10/1d10b0d3f767d1d64ed2eb6a6fe7754d/0110706461.jpeg "Pliops möchte mit seinem Beschleuniger „XDP“ der Star unter den Datenbeschleunigern werden. (Bild: Pliops)")
:quality(80)/p7i.vogel.de/wcms/31/66/316644feb5d54491e82e3b4288d116a8/0111103715.jpeg "Mit File Services for FlashArray will Pure den Storage-Alltag vereinfachen: Die neue Plattform vereint Blocks, Files und VMs. Dazu verspricht der Hersteller ein einfaches Speichermanagement. (Bild: monsitj - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/cb/b1/cbb1af25ae1228a2de767bdab153e70f/0111406875.jpeg "Experten rechnen damit, dass innerhalb dieses Jahrzehnts ein Quantencomputer gebaut wird, der ECDSA oder vergleichbare auf dem diskreten Logarithmus basierende Kryptosysteme für öffentliche Schlüssel kompromittieren kann. (Bild: phive2015 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/5d/d1/5dd15087c4d8d95a7415dcd9466256ef/0111538685.jpeg "(Bild: Technogroup)")
:quality(80)/p7i.vogel.de/wcms/a4/99/a4996a612479676b2439dd918e189ac4/0111337926.jpeg "Zur DSGVO gehört das Recht auf Vergessenwerden - Mit der Einführung der Entfernung von Personensuch-Websites ist Incogni einer der umfassendsten Dienste zur Entfernung persönlicher Informationen auf dem Markt, der rund 180 Datenbroker abdeckt. (Bild: frei lizenziert: Gerd Altmann)")
:quality(80)/p7i.vogel.de/wcms/2a/73/2a73d990c617a0d61059a9123a75142f/0111183876.jpeg "Geeignet für geheime Botschaften mit 2x 40 Gbit/s IPsec und <20 μs Latenz: Die VPN-Appliance von der Genua GmbH (Bild: frei lizenziert: Tayeb MEZAHDIA )")
:quality(80)/p7i.vogel.de/wcms/da/45/da456fc54723e72276bc2cd5e4097ff9/0111649607.jpeg "Dr. Ing. Stefan Hengesbach (CEO QuiX Quantum) und Markus Pflitsch (CEO QMware) bringen in Enschede ein neuartiges Quantencomputing-Rechenzentrum an den Start. (Bild: QMware)")
:quality(80)/p7i.vogel.de/wcms/f2/7b/f27b03986fc1d0efff2f101de79d8f16/0111412471.jpeg "Das Systemmodell „H2“ baut auf den Grundlagen der H-Serie von Quantinuum auf und verfügt über zahlreiche Merkmale, die es von anderen Quantencomputern abheben: All-to-All-Konnektivität, Wiederverwendung von Qubits, Messung in der Mitte des Schaltkreises mit bedingter Logik, branchenweit führende High-Fidelity-Qubit-Operationen und lange Kohärenzzeiten.“ (Bild: Quantinuum)")
:quality(80)/p7i.vogel.de/wcms/cc/74/cc746eeff777e50c1ad92e67cb98cf6a/0110796599.jpeg "Ziel von Classiq und KPMG ist es, Unternehmen mit vereinten Expertise zu helfen, Quantenanwendungsfälle zu erforschen und die Entwicklung der technologischen Fähigkeiten, die es hierfür braucht, voranzutreiben. (Bild: frei lizenziert: Garik Barseghyan )")
:quality(80)/p7i.vogel.de/wcms/0f/09/0f097990002b7600075e43c92af4a3fd/0110524571.jpeg "(Bild: frei lizenziert/Krystsina Radzewich)")
:quality(80)/p7i.vogel.de/wcms/66/ae/66ae9e32738784b57e2ad8c1a4b0986f/0109756744.jpeg "Eines der in Deutschland befindlichen NTT-Datacenter - in Hattersheim - und das PeerDC-Logo. (Bild: NTT Global Data Centers )")
:quality(80)/p7i.vogel.de/wcms/bd/26/bd26cd1fc2fcdb4b82100d1a0e24ba9a/0109064470.jpeg "Viele habe zur Überarbeitung des 'Blauen Engels' für Rechenzentren beigetragen. Stößt das Umweltzeichen damit nun auf breitere Akzeptanz? (Bild: nadtytok28 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/fd/7a/fd7a3f27c1905255d03a7d0410626a7d/0106490349.jpeg "(Bild: EMC - Home of Data)")
:quality(80)/p7i.vogel.de/wcms/bb/80/bb80be0c5bd76440174fa8736c0fc68a/0109079523.jpeg "(Bild: Amazon)")
:quality(80)/p7i.vogel.de/wcms/90/40/904072c10c6cfb25aa589ccdc2b731a0/0105957803.jpeg "Diese bunten Rohrleitungen befinden sich nicht in London, sondern im Kühlraum des Google-Rechenzentrums in Singapur. (Bild: Google)")
:quality(80)/p7i.vogel.de/wcms/28/91/2891191f43d783185e01b7838e3ae6cd/0105726161.jpeg "Aufnahme aus dem islandischen Rechenzentrum „ICE01 DC“ von Atnorth (Bild: Atnorth)")
:quality(80)/p7i.vogel.de/wcms/53/46/5346a50e5bca503a89be890d8ccafb2f/0105679922.jpeg "2020 hat Envia Tel bereits das dritte Rechenzentrum am Standort Taucha in Betrieb genommen; jetzt wurde noch einmal erweitert. (Bild: Envia Tel)")
Ein Code-Verzeichnis von Abhängigkeiten Was ist SBOM - Software Bill of Materials?
Anbieter zum Thema
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/125000/125044/65.jpg "Rosenberger.jpg ()")
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/102100/102109/65.png "VMW_09Q3_LOGO_Corp_K.png ()")
:fill(fff,0)/p7i.vogel.de/companies/5e/cf/5ecf8e2080a3f/stackit-pos-hex-bildmarke-jpg.png "STACKIT_POS_HEX_Bildmarke.jpg.png (STACKIT)")
Die Zielsetzung „Schotten dicht“ beißt sich schon länger in der Unternehmens-IT mit den harten Realitäten der allgegenwärtigen Konnektivität. Wer auf Nummer sicher gehen will, muss sich mit den Verwundbarkeiten der eigenen Software-Versorgungskette auseinandersetzen. Ein standardisiertes Hilfsmittel mit dem Akronym SBOM – Software Bill of Materials – soll dies erleichtern.
Seit der Veröffentlichung der „Executive Order 14028“ durch die US-amerikanische Regierung am 12. Mai 2021 müssen Unternehmen, die Produkte oder Services mit Software an US-Behörden liefern, die Verantwortung für ihre Software-Versorgungskette übernehmen und diesbezüglich eine Reihe von strengen Vorschriften erfüllen. Es besteht fortan unter anderem die Verpflichtung, ergänzend zu jedem Produkt die so genannte Software Bill of Materials (SBOM) mitzuliefern.
SBOM (Software Bill of Materials) ist ein Inventar einer Codebasis, einschließlich aller identifizierbaren Komponenten samt ihrer Lizenz- und Versionsinformationen sowie Angaben zu eventuell vorhandenen Sicherheitslücken. SBOM soll helfen, den Softwarecode samt bekannter Bugs und lizenzrechtlicher Fallstricke in der Codebasis zu inventarisieren, um so die Risiken von Supply-Chain-Verwundbarkeiten auszumerzen.
Die US-Telekommunikationsbehörde National Telecommunications and Information Administration (NTIA) hat ja auch schon eine Reihe an Minimalanforderungen für eine gültige SBOM ausgearbeitet. Mangelware sind momentan noch aber geeignete Tools (siehe: weiter unten).
Wo gehobelt wird
Die Allgegenwärtigkeit von Software versetzt digitalisierte Unternehmen in einen chronischen Bedrohungszustand. Supply-Chain-Attacken häufen sich. Laut Angaben der NCC Group hat die Anzahl von Angriffen gegen Unternehmen aus der Software-Versorgungskette der betroffenen Organisationen heraus zwischen dem Juli und dem Dezember 2021 um 51 Prozent zugenommen.
In Supply-Chain-Attacken nutzen die Angreifer die Software-Versorgungskette ihres Opfers als Einfallstor in die Enterprise-IT. Cyber-Täter machen sich hierzu eine Vielzahl von Tricks zu Nutze, um betroffene Entwickler hinters Licht zu führen, darunter:
- Namensraumverwechslung (auch bekannt als Dependency Confusion): Cyber-Täter vertreiben gefälschte Bibliotheken in einer neueren Version als die offiziell veröffentlichte über frei zugängliche Repos wie „npmjs“; bestimmte Build-Tools holen sich dann ungefragt die neuere, absichtlich bösartige Version der betreffenden Bibliothek und schon sind die resultierenden Softwareprojekte kompromittiert;
- Typosquatting: Dieser indirekte Angriffsvektor macht sich ansonsten harmlose Tippfehler zu Nutze, die Entwicklern bei der Suche nach beliebten Komponenten auf Grund von Unachtsamkeit gerne unterlaufen; bösartige Bibliotheken ersetzen so unbemerkt ihre legitimen Varianten;
- Brandjacking ist die unbefugte Nachahmung des Branding einer Organisation mit dem Ziel, Entwickler darauf aufbauender Projekte hinter den Ofen zu locken.
Mit diesen und verwandten Methoden können Cyber-Täter mehr oder weniger unbemerkt in die Infrastruktur ihrer Opfer eindringen, Daten exfiltrieren oder sonstigen Unheil anrichten und ungeschoren davonkommen. Open-Source-Projekte scheinen bei Cyber-Tätern besonders beliebt.
Sonatype hat im Jahr 2021 einen Anstieg der Angriffe auf die Software-Lieferkette von Unternehmen aus vorgelagerten Open-Source-Ökosystemen heraus um astronomische 650 Prozent festgestellt. Die gleiche Statistik im Jahr davor lag bei 430 Prozent.
Heutige Anwendungen bauen in der Regel auf vielen einzelnen Softwarekomponenten auf, die oft aus einer Vielzahl von Open-Source- und proprietären Quellpaketen stammen. In Anbetracht dieser Komplexität kann es für Unternehmen schwierig sein, einen vollständigen Überblick über die Softwarelieferkette zu erhalten. SBOM soll Klarheit schaffen.
Die Software-Versorgungskette hat sich zu einem nicht zu unterschätzenden Angriffsvektor gegen die Unternehmens-IT gemausert. Das Aufkommen von IoT und IIoT hat die Sachlage noch einmal verschärft.
Aktuelle Zahlen
Laut aktuellen Zahlen von Synopsys hängt die durchschnittliche Software-Anwendung von mehr als einem halben Tausend quelloffenen Bibliotheken und Komponenten ab (nein, das ist kein Tippfehler: von einem halben Tausend). Das ist ein Anstieg um 77 Prozent in nur zwei Jahren.
Einen noch größeren Sprung konnte das Team von Revenera zwischen 2019 und 2020 beobachten, als die Anzahl von quelloffenen Softwarekomponenten in auditierten Unternehmen um 200 Prozent gegenüber Vorjahr zunahm. Den letzten großen Sprung davor um „gerade einmal“ 122 Prozent in zwei Jahren konnten die Forscher zwischen 2014 und 2016 feststellen, als sich Paketmanager mit ihren Features rund um die Verwaltung von Abhängigkeiten in Build-Umgebungen auf breiter Front durchsetzen konnten. Revenera ist eine Unternehmenssparte der Flexera-Gruppe und Anbieter von Werkzeugen zur Verwaltung von quelloffenem Code in der Softwareentwicklung.
Mit der wachsenden Verzwicktheit der typischen Codebasis nehmen auch die Cyber-Risiken zu. Die Zahl der neu gemeldeten Zero-Day-Exploits sei in nur sechs Jahren rund siebenfach gestiegen, von durchschnittlich einer solchen Verwundbarkeit pro Woche im Jahr 2015 auf eine pro Tag im Jahr 2021, warnen die Analysten von Cybersecurity Ventures.
Doch damit nicht genug: Die Angriffsfläche für Anwendungen wächst weiter vor sich hin. Laut Angaben von Cybersecurity Ventures wächst sie von Jahr zu Jahr um je durchschnittlich 111 Milliarden Zeilen Softwarecode.
Für die Unternehmen malen diese Zahlen ein düsteres Bild einer Gefährdungslage, die leicht aus der Hand geraten kann.
Die Unkenrufe der Experten werden immer lauter
Tim Mackey, leitender Sicherheitsstratege bei Synopsys, fordert: „Wir müssen einen Weg finden, [ungepatchte Sicherheitslücken] unter Kontrolle zu bringen; denn wir bewegen uns in die falsche Richtung. Er argumentiert: „Diese Art von Komplexität schafft Fragilität.“ Sie führe nämlich dazu, dass die Entwicklerteams das Verhalten ihres Codes möglicherweise nicht adäquat verstünden, und wann immer es der Fall sei, seien aus seiner Sicht unter bestimmten ungewohnten Randbedingungen extrem unliebsame Überraschungen die Folge.
Open-Source-Abhängigkeiten sind ein Problem insbesondere für Javascript-Anwendungs-Frameworks. Bei einer Analyse von mehr als 45.000 aktiven Repositories stellte Github im Jahre 2020 beispielsweise fest, dass die durchschnittliche Javascript-Anwendung zwar zehn direkte Abhängigkeiten hat, diese Komponenten aber auf andere Bibliotheken angewiesen sind und so wächst der Baum von Abhängigkeiten auf gewaltige 683 separate Codebases. PHP-Anwendungen haben im Durchschnitt so um die 70 Abhängigkeiten und Ruby 68, so der Github-Bericht.
Um eine Verwundbarkeit schließen zu können, müssen die Unternehmen erst einmal überhaupt wissen, dass es sie gibt. Ein SBOM ist dafür unabdingbar.
SBOM-Standards: (k)eine Formsache
Unternehmen können SBOMs in einer Reihe verschiedener Formate erstellen, von HTML-Markup über Text, Markdown, PDF und CSV zu Dateiformaten, die speziell für die Bereitstellung von SBOMs entwickelt wurden: SPDX (Software Package Data Exchange), Software Identification (SWID) Tags und Cyclone DX.
Unternehmen, die ihre Produkte an die US-Bundesregierung verkaufen (und folglich an die Bestimmungen der Cybersecurity Executive Order der Biden-Administration gebunden sind), müssen ihre SBOMs in einem dieser letzteren drei Formate übermitteln.
- SPDX ist ein Projekt der Linux Foundation und ein internationaler offener Standard (ISO/IEC 5962:2021).
- SPDX erfasst Daten in Bezug auf die Herkunft, Lizenzbedingungen und die Sicherheit von Code.
- SWID steht für Software Identification Tag. Es handelt es sich dabei um ein standardisiertes XML-Format, das die Komponenten eines Softwareprodukts identifiziert und kontextualisiert.
Es gibt vier Arten von SWID-Tags, die an verschiedenen Punkten des Software-Entwicklungszyklus (SDLC) zum Tragen kommen:
- 1. Corpus-Tags identifizieren und beschreiben Softwarekomponenten in einem Zustand vor der Installation; sie dienen als Hilfsmittel für Software-Installationswerkzeuge und -prozesse;
- 2. Primary-Tags dienen zur Identifizierung und Kontextualisierung von Softwareprodukten nach der Installation;
- 3. Patch-Tags identifizieren und beschreiben Software-Aktualisierungen (im Gegensatz zum Kernprodukt selbst).
- 4. Ergänzende Tags geben Software-Benutzern und Software-Management-Tools die Möglichkeit, hilfreiche Kontextinformationen von lokalem Nutzen hinzuzufügen, darunter Lizenzschlüssel und Kontaktinformationen.
CycloneDX ist ein leichtgewichtiger SBOM-Standard für den Einsatz im Zusammenhang mit der Anwendungssicherheit und der Analyse von Komponenten in der Softwarelieferkette. Es ist im Rahmen des Open Web Application Security Project (OWASP) entstanden. Es unterstützt vier Kategorien von Daten:
- BOM-Metadaten: Informationen über die Anwendung beziehungsweise das Produkt selbst, darunter den Lieferanten, den Hersteller, die betreffende Produktkomponente und alle Werkzeuge, die zur Erstellung des SBOM verwendet werden;
- Komponenten: Ein vollständiges Inventar von proprietären und quelloffenen Komponenten, einschließlich relevanter Lizenzierungsinformationen;
- Dienste: Externe APIs, welche die betreffende Softwarekomponente aufrufen kann, einschließlich der URIs der Endpunkte, Authentifizierungsanforderungen und Angaben zu Vertrauensgrenzen;
- Abhängigkeiten, darunter sowohl direkte als auch transitive Beziehungen mit anderen Codebasen.
SBOM bildet die Grundlage für die Bereitstellung erweiterter Funktionalität rund um Software, von Verwundbarkeits-Scannern über Tools für das Lizenz-Management und Compliance bis hin zu Werkzeugen rund um das Supply-Chain-Risiko-Management.
SBOM-Werkzeuge
Um ein SBOM zu berechnen, kommen so genannte SCA-Werkzeuge (SCA = Software Composition Analysis) zum Tragen, also Tools für die Analyse der Softwarezusammensetzung. Das intelligente Berechnen von BOMs (Bill of Materials) aus Softwarecode bildet die Grundlage für Lösungen wie Verwundbarkeitsscanner und Lizenz-Management-Werkzeuge.
Im Rahmen dem Projekt namens Automated Compliance Tooling Project unter der Schirmherrschaft der Linux Foundation entsteht eines Sammlung quelloffener Referenz-Toolchain(s) für die automatische Erstellung und Verwendung von SBOMs zur Unterstützung der Lizenzeinhaltung, des Schwachstellen-Managements und anderer Richtlinien. Die quelloffenen Gemeinden der Projekte „Fossology“, „Tern“, „OSS Review Toolkit“, „Reuse Software“, „Scan Code“ und „SPDX“ ziehen gemeinsam an einem Strang.
* Das Autorenduo Anna Kobylinska und Filipe Pereia Martins arbeitet für McKinley Denali Inc. (USA).
(ID:48414325)
:quality(80)/images.vogel.de/vogelonline/bdb/1943200/1943241/original.jpg "Das BSI hat eine offizielle Warnung vor Virenschutz von Kaspersky veröffentlicht. Der Anbieter reagiert darauf. (Thitichaya - stock.adobe.com)")
:quality(80)/images.vogel.de/vogelonline/bdb/1938000/1938017/original.jpg "Der neue Report der IBM X-Force zeigt: Die Fertigungsindustrie war 2021 aufgrund der Lieferketten-Problematik am stärksten von Cyberangriffen betroffen. (zapp2photo - stock.adobe.com)")