28 September 2015

Kostenloses Plug-in spürt Open Source Sicherheitslücken auf

Kategorien: Aktuelles
Tags: Open Source Sicherheit

Ein Gastbeitrag von Thimo Hüller – Black Duck Software

Jedes Jahr werden über 4.000 neue, in Open Source Software (OSS) enthaltene Sicherheitslücken bekannt. Die Wahrscheinlichkeit, dass sich auch in Ihrem Software-Portfolio solche Schwachstellen befinden ist hoch.

Der erste Schritt zur Entwicklung und Betrieb von sicheren Anwendungen ist, solche verwundbaren Stellen in Ihrer Codebase zu identifizieren. Aber das ist nicht so einfach, denn in den verwendeten Plattformen, Libraries und Utilitycodes sind oft Hunderte, wenn nicht Tausende von Open-Source-Modulen integriert. Hinzu kommt, dass oftmals Elemente der Codebase von verschiedenen Entwicklergruppen an verschiedenen Orten bearbeitet werden. Die Überprüfung sämtlicher verwendeter Open-Source-Software auf Sicherheitslücken kann sehr zeitaufwendig sein, die Software-Build-Prozesse verlangsamen und eine Continuous Integration Umgebung zum Stillstand bringen.

Es ist daher nicht verwunderlich, dass sich Entwickler- und DevOps-Teams solche Sicherheitsüberprüfungen bis zuletzt im Software-Entwicklungszyklus aufsparen. Das Ergebnis sind dann Apps, die längst veraltete Open-Source-Komponenten enthalten und mit hoher Wahrscheinlichkeit latente Sicherheitslücken haben.

Um diesem Problem zu Leibe zu rücken, können Entwickler jetzt das kostenlose Black Duck Free Vulnerability Plug-in für Jenkins herunterladen. Dieses frei verfügbare Tool ermöglicht es Entwicklern und DevOps Managern, bekannte Sicherheitslücken in Open-Source-Komponenten schnell und leicht zu finden. Dies geschieht schon früh im Entwicklungsprozess, wenn korrigierende Maßnahmen weniger störend sind und vor allem kostengünstiger durchgeführt werden können.

Das Vulnerability Plug-in verwendet Informationen aus der Black Duck KnowledgeBase in Kombination mit relevanten Daten aus dem Jenkins Build-System. Es macht es leicht, Open-Source-Versionen zu erkennen und die für diese Komponenten katalogisierten Sicherheitslücken anzuzeigen. Der Trick ist die Automatisierung!

Das Plugin reduziert zeitraubende, manuelle Inspektionen auf ein Minimum und behindert nicht tägliche oder stündliche Build-Vorgänge und die damit verbundenen Agile Sprints. Entwickler können aussagekräftige PDF-Berichte exportieren, auf denen die Sicherheitslücken gelistet sind, diese dann mit den Sicherheitsteams und Systemarchitekten besprechen und Korrekturmaßnahmen entscheiden.

Sicherheitslücken früh im Entwicklungsprozess zu erkennen spart Ressourcen und kostbare Entwicklerzeit. Es hilft schlussendlich, qualitativ besseren Code und damit auch sichere Anwendungen zu erstellen. Probieren Sie’s aus!

Laden sie das Jenkins Plugin hier kostenlos herunter.

Kategorien: Aktuelles
Tags: Open Source Sicherheit


Beitrag teilen: