28 September 2015

Kostenloses Plug-in spürt Open Source Sicherheitslücken auf

Ein Gastbeitrag von Thimo Hüller – Black Duck Software

Jedes Jahr werden über 4.000 neue, in Open Source Software (OSS) enthaltene Sicherheitslücken bekannt. Die Wahrscheinlichkeit, dass sich auch in Ihrem Software-Portfolio solche Schwachstellen befinden ist hoch.

Der erste Schritt zur Entwicklung und Betrieb von sicheren Anwendungen ist, solche verwundbaren Stellen in Ihrer Codebase zu identifizieren. Aber das ist nicht so einfach, denn in den verwendeten Plattformen, Libraries und Utilitycodes sind oft Hunderte, wenn nicht Tausende von Open-Source-Modulen integriert. Hinzu kommt, dass oftmals Elemente der Codebase von verschiedenen Entwicklergruppen an verschiedenen Orten bearbeitet werden. Die Überprüfung sämtlicher verwendeter Open-Source-Software auf Sicherheitslücken kann sehr zeitaufwendig sein, die Software-Build-Prozesse verlangsamen und eine Continuous Integration Umgebung zum Stillstand bringen.

Es ist daher nicht verwunderlich, dass sich Entwickler- und DevOps-Teams solche Sicherheitsüberprüfungen bis zuletzt im Software-Entwicklungszyklus aufsparen. Das Ergebnis sind dann Apps, die längst veraltete Open-Source-Komponenten enthalten und mit hoher Wahrscheinlichkeit latente Sicherheitslücken haben.

Um diesem Problem zu Leibe zu rücken, können Entwickler jetzt das kostenlose Black Duck Free Vulnerability Plug-in für Jenkins herunterladen. Dieses frei verfügbare Tool ermöglicht es Entwicklern und DevOps Managern, bekannte Sicherheitslücken in Open-Source-Komponenten schnell und leicht zu finden. Dies geschieht schon früh im Entwicklungsprozess, wenn korrigierende Maßnahmen weniger störend sind und vor allem kostengünstiger durchgeführt werden können.

Das Vulnerability Plug-in verwendet Informationen aus der Black Duck KnowledgeBase in Kombination mit relevanten Daten aus dem Jenkins Build-System. Es macht es leicht, Open-Source-Versionen zu erkennen und die für diese Komponenten katalogisierten Sicherheitslücken anzuzeigen. Der Trick ist die Automatisierung!

Das Plugin reduziert zeitraubende, manuelle Inspektionen auf ein Minimum und behindert nicht tägliche oder stündliche Build-Vorgänge und die damit verbundenen Agile Sprints. Entwickler können aussagekräftige PDF-Berichte exportieren, auf denen die Sicherheitslücken gelistet sind, diese dann mit den Sicherheitsteams und Systemarchitekten besprechen und Korrekturmaßnahmen entscheiden.

Sicherheitslücken früh im Entwicklungsprozess zu erkennen spart Ressourcen und kostbare Entwicklerzeit. Es hilft schlussendlich, qualitativ besseren Code und damit auch sichere Anwendungen zu erstellen. Probieren Sie’s aus!

Laden sie das Jenkins Plugin hier kostenlos herunter.

Kategorien: Aktuelles
Tags: Open Source Sicherheit

über den Autor

Michael Amstadt

Leiter Marketing/Vertrieb DACH

zur Person

Michael verantwortet seit 2006 die Bereiche Vertrieb und Marketing der credativ GmbH im Raum DACH. Seitdem wächst die deutsche credativ kontinuierlich und hat sich zu einem der renommiertesten und erfolgreichsten Spezialisten im Open Source Umfeld entwickelt. Michael ist seit 1993 in unterschiedlichen Managementpositionen sehr erfolgreich im Bereich Vertrieb und Marketing tätig. Wichtige Stationen waren dabei die Markteinführung des digitalen Fernsehens in Deutschland für RTL und Primus-Digital TV, der Aufbau des Internet-Service-Providers Metronet, der Bereich Partnerschaften und Allianzen für das Telekommunikationsunternehmen Callino und die Tätigkeit im Management der RSL COM Deutschland AG als Manager für den Bereich Reseller & Special Channels. In seiner Freizeit widmet sich Michael seit seiner Jugend sehr intensiv der Musik und kann nur schwer an einer guten Gitarre vorbeigehen.

Beiträge ansehen


Beitrag teilen: