Die OWASP Foundation (Open Web Application Security Project) und IBM hat heute den Beitrag von IBM zu zwei Open-Source-Projekten bekannt gegeben, die darauf abzielen, das Vertrauen in offene Hardware-und Softwarelieferketten zu stärken.
Bei den beiden Projekten handelt es sich um SBOM Utility und License Scanner, die CycloneDX ergänzen, ein Vorzeige-OWASP-Projekt und ein führender Bill of Materials (BOM)-Standard. Diese fördern die Validierung, Inhaltsanalyse und Genauigkeit der in BOMs enthaltenen Softwarelizenzinformationen.
Das von IBM entwickelte SBOM-Dienstprogramm und der Lizenzscanner werden Open-Source-Technologien zu OWASP beitragen, um Entwicklern zu helfen, ihre Datenqualität auf dem zu verbessern Front-End und helfen bei der Validierung von SBOMs zur Risikobewertung.
Das SBOM-Dienstprogramm ist als API-Plattform konzipiert, die hauptsächlich zur Validierung von BOMs im CycloneDX-oder SPDX-Format anhand ihrer veröffentlichten Schemata verwendet wird. Es kann auch dabei helfen, Derivate zu validieren, die von Organisationen erstellt wurden, die strengere Anforderungen an BOM-Daten durchsetzen möchten.
License Scanner wurde entwickelt, um Dateien auf Lizenzen und rechtliche Bedingungen zu scannen. Es kann verwendet werden, um Textabgleichslizenzen und Lizenzausnahmen aus der vollständigen, veröffentlichten SPDX-Lizenzliste zu identifizieren. Sofort einsatzbereit stimmt es mit der Version 3.18 der SPDX-Lizenzen (etwas weniger als 500) und Lizenzausnahmen (40+) überein und verfügt über eine Option zum Importieren zukünftiger Versionen von SPDX-Lizenzen.
License Scanner wurde für die Integration in die DevOps-Toolchains des Continuous Delivery Service von IBM Cloud entwickelt und wird auch als Teil des rechtlichen Freigabeprozesses von IBM für Open-Source-und Unternehmenssoftware vor der Genehmigung für die interne Verwendung verwendet.
“Das gibt es immer noch Bedarf an Sensibilisierung, Werkzeugen und Anleitungen, um Software mit mehr Sicherheitsfunktionen zu entwickeln”, sagt Jamie Thomas, General Manager, Systems Strategy and Development bei IBM.”IBM leistet seit langem Beiträge zu einer Vielzahl von Open-Source-Communities wie der OWASP Foundation. Wir glauben, dass diese Beiträge Entwicklern helfen können, Risiken einzuschätzen und sicherere Anwendungen zu erstellen, die das Vertrauen der Verbraucher stärken können.”
Sowohl SBOM Utility als auch Lizenz-Scanner sind auf GitHub.
Bildnachweis: Chan2545/depositphotos.com