Application SecurityKostenfreie Software Composition Analysis

Log4j, Heartbleed, Shellshock...

Sicherheitslücken in weit verbreiteten Open Source-Komponenten sind nicht nur zeitraubend zu beheben und extrem nervig, sondern gefährden explizit die Sicherheit Ihrer Anwendungen. 

Schätzungsweise 60 bis 80 Prozent aller Applikationen setzen zu unterschiedlichen Teilen auf Open Source-Bestandteile. Wissen Sie, welche potentiellen Risiken sich in Ihren Anwendungen noch verstecken? 

Wir analysieren kostenfrei die Open Source Software-Komponenten einer von Ihnen gewählten Applikation.

Ansprechpartner

Thomas Jähnig
GeschäftsführerThomas Jähnig+49 351 4400 8124+49 157 7465 3532tjaehnig (at) proficom.de
Mit der statischen Quellcode-Analyse wird der Code auf potentielle Schwachstellen untersucht

Was ist eine Software Composition Analysis? 

Die regelmäßige Analyse aller Softwarekomponenten, die in einer Anwendung zum Einsatz kommen, mindert die systemischen Risiken für Angriffe auf Ihre Applikationen.

Denn bei einem Angriff werden die kompromittierten Komponenten den Schadcode mit den entsprechenden Berechtigungen ausführen - unabhängig davon, wo sie eingesetzt werden.  

Aufgrund der weiten Verbreitung von Open Source Software in nahezu allen Programmen benötigen Entwickler:innen heute mehr denn je einfache und effektive Lösungen, um die Sicherheit und Funktionalität ihrer Anwendungen zu gewährleisten und Unternehmen und deren User zu schützen.

Wenn Ihre Entwickler:innen Open Source Software nutzen - was mehr al 90 Prozent tun - ist es wichtig, ein Open Source Software Composition Analysis (SCA) Tool zu verwenden. Damit lässt sich feststellen, welche Open Source-Komponenten Sie verwenden und ob diese verwundbar sind. Ein weiterer wichtiger Punkt ist es, sicherzustellen, dass die Schwachstellendatenbank, welche Ihr SCA-Tool verwendet, immer aktuell ist.  

Analysemethoden

Agent based SCA 

  • Ermöglicht es Quellcode-Repsitories direkt zu scannen
  • Entweder manuell über die Befehlszeile oder eingebunden in einer CI-/CD-Pipeline
  • Kann direkt während der Softwareentwicklung genutzt werden
  • Projekt-Scans können mit Anwendungsprofilen verknüpft werden, um die Einhaltung von Richtlinien zu gewährleisten

Statische SCA

  • Verschlüsselter Upload des Quellcodes oder von Binärdateien in die Plattform
  • Scans werden über die Benutzeroberfläche oder eine API ausgeführt
  • Während der Pre-Scan-Evaluierung für statische Scans wird der SCA-Scan ausgeführt, um die Zusammensetzung der Anwendung zu überprüfen
  • Ergebnisse werden bereits geliefert, während der statische Scan fortgesetzt wird
Checken Sie Ihre Softwarekomponenten auf sicherheitskritische Schwachstellen
Mit der statischen Quellcode-Analyse wird der Code auf potentielle Schwachstellen untersucht

Was kann die SCA-Analyse von Veracode?

Die Software Composition Analyse (SCA) von Veracode erkennt und identifiziert Schwachstellen in Open-Source-Anwendungsbibliotheken. Sie ermöglicht es Ihnen, Open-Source-Abhängigkeiten auf bekannte Schwachstellen zu scannen und datengestützte Empfehlungen für Versions-Upgrades zu erhalten, bevor Sie die Änderung automatisieren. 

Zudem ermöglicht SCA Ihnen, einen umfassenden, zentralisierten Einblick in verschiedene Umgebungen und Anwendungen zu erhalten und so Fehler frühzeitig zu erkennen.

Sprechen wir gemeinsam über Ihre Ziele und Wünsche

Sie haben Fragen?

Gern stehen wir Ihnen mit Know-how, konkreten Unterstützungsleistungen und zugehörigen Lizenz- und Supportangeboten zur Verfügung.

Background Image Mobile Version