Da sich Entwickler in ihren Projekten zunehmend auf Open-Source-Komponenten verlassen, ist es wichtig zu wissen, welche verwendet wurden, um Updates und potenzielle Bedrohungen identifizieren zu können. Hier ist eine Software-Stückliste (SBOM) unerlässlich.
Dienstleistungsunternehmen für Anwendungssicherheitstests und Softwareforschung GrammaTech startet einen kostenlosen SBOM-Service zusammen mit einer neuen Version seines CodeSentry-Tools zur Analyse der Softwarezusammensetzung (SCA).
Im Gegensatz zu Quellcode-Tools analysiert CodeSentry die ausgeführte Binärdatei, um alles zu identifizieren Komponenten oder Schwachstellen, einschließlich solcher, die in Postproduktionsanwendungen enthalten sind. Dies bedeutet, dass es Komponenten von Zweit-, Dritt-und Viertanbietern identifizieren kann, unabhängig davon, wo sie in die Software-Lieferkette gelangen, indem es die endgültige Binärdatei „wie bereitgestellt“ analysiert.
“CodeSentry ist jetzt in drei Editionen verfügbar, wodurch Kunden die Anwendungssicherheit auswählen können Fähigkeiten, die ihren Anforderungen für Softwareinventarisierung, Schwachstellenanalyse oder Sicherheitsinformationen entsprechen”, sagt Walter Capitani, Leiter des technischen Produktmanagements bei GrammaTech. „Außerdem können Organisationen mit der SBOM Edition ihre Software als ersten Schritt bei der Implementierung eines proaktiven Software-Supply-Chain-Sicherheitsprogramms inventarisieren, um Brandübungen zu vermeiden, die durch Vorfälle wie Log4j verursacht werden.“
SIEHE AUCH:
CodeSentry gibt es in drei Versionen, eine SBOM-Edition, die ein Softwareinventar erstellt, um gefährdete Open-Source-Komponenten zu identifizieren und Lizenzinformationen zu bewerten, um Compliance-Verstöße zu vermeiden; eine Security Edition, die die Möglichkeit hinzufügt, N-Day-Schwachstellen von Komponenten zu identifizieren, Sicherheitsbewertungen für die Risikobewertung von Anwendungen bereitzustellen, die Ausnutzbarkeit über Komponenten hinweg zu bewerten und zusätzliche Bereitstellungs-und API-Optionen zu unterstützen; und eine Advanced Security Edition, die alle oben genannten Funktionen sowie die Fähigkeit zum Erkennen von Zero-Day-Schwachstellen, Unterstützung für erweitertes Scannen zum Erkennen von fortgeschrittenen N-Day-Schwachstellen und Verpackungssicherheitsbewertung bietet.
Um eine kostenlose SBOM zu erhalten, Unternehmen können sich registrieren, um GrammaTech eine Binärdatei oder ein Artefakt bereitzustellen. Sie erhalten einen kostenlosen SBOM-Bericht in ihrem bevorzugten Format, der die mit ihrer Anwendung verbundenen Sicherheitsrisiken der Software-Lieferkette, von Drittanbietern und Open Source aufzeigt. Dies wird nur für eine begrenzte Zeit verfügbar sein.
Bildnachweis: Andreus/depositphotos.com