Tools für die Sicherheit Ihrer Software-Supply-Chain

Diese Tools helfen bei der Identifizierung von Schwachstellen und Bedrohungen durch den Code von Drittanbietern durch Analyse der Softwarezusammensetzung und Erstellung von SBOM (Software Bill of Materials). [...]

Quelle: pixabay.com

Wie die Auswirkungen der Apache Log4J-Schwachstellen zu Beginn dieses Jahres zeigen, liegen die größten Risiken bei Unternehmenssoftware heute nicht unbedingt im unsicheren Code, der direkt von internen Softwareentwicklungsteams geschrieben wird. Die Schwachstellen in den Komponenten, Bibliotheken und anderen Open-Source-Codes, die den Großteil der heutigen Software-Codebasen ausmachen, sind der unterste Teil des Eisbergs der Unsicherheit.

Die Wahrheit ist, dass ein großer Teil der Unternehmenssoftware und der benutzerdefinierten Anwendungen, die von DevOps-Teams und Software-Engineering-Gruppen produziert werden, nicht von ihren Entwicklern programmiert wird. Moderne Software ist heute modular aufgebaut. Entwickler verwenden eine so genannte Microservices-Architektur, um neue Anwendungen zu erstellen, indem sie diese ähnlich wie ein Lego-Haus aus vorgefertigten Code-Bausteinen zusammensetzen.

Anstatt das Rad jedes Mal neu zu erfinden, wenn ihre Anwendung eine bestimmte Funktion erfüllen soll, stöbern die Entwickler in ihrer sprichwörtlichen Kiste mit Bausteinen herum, um genau den richtigen Baustein zu finden, der ohne viel Aufwand das tut, was sie brauchen.

Diese Kiste ist die sich ständig erweiternde Software Supply Chain, eine manchmal sehr inoffizielle Quelle von Code, der aus den Millionen von GitHub-Repositories und Open-Source-Projekten stammt, die heute online im Umlauf sind. Sie besteht aus Komponenten und Bibliotheken, die in unzähligen Anwendungen und in der zugrunde liegenden Anwendungs- und Entwicklungsinfrastruktur verwendet werden, um moderne Entwicklungspipelines zu erstellen.

Natürlich sind die Programme, die von dieser Versorgungskette bereitgestellt werden, keine wirklichen Bausteine und sie greifen nicht immer perfekt ineinander, so dass Entwickler benutzerdefinierten Code erstellen, um all diese Teile zusammenzufügen. In der Tat leiten viele diese Kreationen dann in weitere Open-Source-Projekte weiter, damit andere ähnliche Probleme lösen können. Das ist ein Grund, warum die Software Supply Chain immer weiter wächst.

Mit Code von Drittanbietern erstellte Anwendungen

Eine moderne Anwendung besteht größtenteils aus dem Code Dritter. Nach Angaben von Forrester (weiterführende Artikel in Englisch) ist der Anteil von Open-Source-Code an der Codebasis einer durchschnittlichen Anwendung von 36 % im Jahr 2015 auf 75 % im Jahr 2020 gestiegen.

Es ist eine schnellere, besser skalierbare Methode, um schnell zu entwickeln, aber wie alle technologischen Innovationen bringt sie zusätzliche Cyberrisiken mit sich, wenn nicht die richtige Sorgfalt angewendet wird. Es ist das kleine, schmutzige Geheimnis der Entwicklungswelt, dass die von der heutigen Software Supply Chain übernommenen Komponenten sehr leicht veraltet und mit Schwachstellen behaftet sein können.

Was die Sache noch komplizierter macht, ist die Tatsache, dass diese Schwachstellen oft ineinander verschachtelt sind, da verschiedene Projekte von anderen in der Lieferkette abhängig sein können. Manchmal können die Schwachstellen sogar absichtlich von Angreifern hinzugefügt werden, die Open-Source-Software bewusst mit Sicherheitslücken ausstatten.

Die durch die Software Supply Chain eingebrachten Schwachstellen können wie versteckte Minen in der Unternehmenssoftware wirken, vor allem wenn Unternehmen nichts unternehmen, um formell zu regeln, wie ihre Entwickler die Software Supply Chain nutzen. Viele Unternehmen verfolgen nicht einmal die Art der Komponenten, Bibliotheken und Entwicklertools, die in den von ihren Entwicklern erstellten Code einfließen, geschweige denn, dass sie ihn überprüfen oder verwalten.

Laut einer von der Linux Foundation veröffentlichten Studie verwenden weniger als die Hälfte der Unternehmen eine Software Bill of Materials (SBOM), mit der sich genau verfolgen lässt, was aus der Software Supply Chain in ihre Anwendungen einfließt.

Die Erstellung einer SBOM ist neben der Open-Source-Governance und der Sicherung der Infrastruktur als Code-Elemente, die während des gesamten SDLC in die Anwendungen einfließen, von grundlegender Bedeutung für die Sicherheit der Lieferkette.

Nachfolgend finden Sie eine Liste von Tools, die dabei helfen, dies zu erreichen, wobei der Schwerpunkt auf Tools für die Softwarekompositionsanalyse (SCA) liegt, die sich speziell auf die Entwicklung von SBOM, die Erhöhung der Transparenz dessen, was in die Software einfließt, und die Behebung von Fehlern in Komponenten konzentrieren, die heute die Bausteine der Software sind.

Contrast Security

Contrast Security ist vor allem für seine Interactive Application Security Testing (IAST)-Technologie bekannt, die Schwachstellen in Anwendungen über einen auf dem Anwendungsserver laufenden Agenten aufspürt. Das Unternehmen bietet SCA-Funktionen als Teil einer umfassenden Palette von Tests auf seiner offenen Plattform an, die auch Dynamic Application Security Testing (DAST), Static Application Security Testing (SAST), Runtime Application Scanning Protection (RASP) und Serverless Security Checks auf der AWS Lambda-Infrastruktur umfasst.

Das Tool kann nicht nur eine SBOM generieren, sondern auch Schwachstellen über die verschiedenen Bestandteile einer Anwendung hinweg kontextualisieren, indem es die Anwendungsarchitektur, Codebäume und Nachrichtenflussinformationen visualisiert, um die Behebung von Bedrohungsmodellen zu unterstützen. Open-Source-Governance ist in moderne Entwicklungs-Workflows und -Tools eingebettet, und Contrast hat es sich zur Aufgabe gemacht, die Kluft zwischen Entwicklern und Sicherheitsteams zu überbrücken, was das Unternehmen zu einem wichtigen Akteur auf dem DevSecOps-Markt macht.

Shiftleft

ShiftLeft ist ein relativer Neuling auf diesem Gebiet und wurde so konzipiert, dass es in den Entwicklungs-Workflow von zukunftsorientierten DevOps-Teams passt.

Der Kernwert liegt in der Zusammenführung von SCA und SAST in einem einzigen Scan, der durchgeführt wird, wenn ein Entwickler eine Pull-Anfrage stellt. Die Technologie nutzt eine Technik, die das Unternehmen Code Property Graph (CPG) nennt, um Abhängigkeiten und Datenflüsse über benutzerdefinierten Code, Open-Source-Bibliotheken, SDKs und APIs hinweg abzubilden, und sucht dabei nicht nur nach Schwachstellen in der gesamten Anwendung – einschließlich ihrer Open-Source-Komponenten -, sondern auch nach logischen Schwachstellen der Anwendung.

Schwachstellen in der Versorgungskette werden nach ihrer Anfälligkeit für Angriffe priorisiert. Dazu wird ein Erreichbarkeitsindex in die SBOM eingefügt, der angibt, wie angreifbar die Komponente ist, je nachdem, wie sie in der Anwendung verwendet wird.

Snyk

Snyk ist ein Cloud-natives, entwicklerzentriertes Toolset, das speziell für DevSecOps und Cloud-native Entwicklungsunternehmen entwickelt wurde. Snyk ist vor allem für seine SCA- und Container-Sicherheitsscan-Funktionen bekannt, bietet aber auch SAST- und API-Schwachstellen-Tests an.

Im Februar 2022 kaufte das Unternehmen Fugue, ein Unternehmen für Cloud Security Posture Management. Wie Gartner erklärte, ist die Mischung aus Angeboten für Infrastructure as Code Security, Container Security und Application Security repräsentativ für die Tatsache, dass „Anwendungs- und Infrastrukturebenen zunehmend miteinander verschwimmen. Fugue wird in der Regel auf der Entwicklerseite gekauft, ist aber für CSOs und Sicherheitspersonal, die ein demokratisiertes Modell für entwicklergeführte Sicherheitstests und Abhilfemaßnahmen anstreben, einen Blick wert.

Sonatype Nexus

Sonatype ist eines der ältesten Unternehmen auf dem SCA-Markt und bezeichnete sich selbst als „Software Supply Chain Security“-Unternehmen, lange bevor sich dieser Begriff in die Titel von Sicherheitskonferenzen und Webinaren einschlich. Das Herzstück der Sonatype Nexus-Plattform sind die Funktionen zur Erstellung detaillierter SBOMs und zur Verwaltung von Richtlinien.

Die Analysten von Forrester sind der Meinung, dass die Richtlinien eine der Stärken von Sonatype sind, mit sofort einsatzbereiten Richtlinien, die sich an einer Reihe von Standards orientieren, und einer Richtlinien-Engine, die es den Benutzern ermöglicht, Richtlinien für bestimmte Arten von Anwendungen zu erstellen und zuzuweisen. Richtlinien können nicht nur für den Code angewendet werden, sondern auch für die Verwaltung der Sicherheit und Konfiguration der umgebenden Infrastruktur in Form von Code und Containern, die für die Entwicklung und Bereitstellung von Anwendungen verwendet werden.

Sonatype bietet auch eine Repository-Verwaltung, um eine einzige Quelle der Wahrheit für alle Komponenten, Binärdateien und Build-Artefakte zu schaffen. Die Visualisierung der Komponentenhistorie von Nexus und der Kundenservice von Sonatype werden von den Analysten ebenfalls als große Stärken des Unternehmens hervorgehoben. Letztes Jahr hat Sonatype auch MuseDev übernommen, um seine Sonatype Lift-Funktionen auszubauen, die eine entwicklerfreundliche Analyse der Codequalität während der Codeüberprüfung ermöglichen.

Synopsys Black Duck

Das Black Duck SCA-Tool von Synopsys führt vier Arten von Analysen durch – Abhängigkeit, Codeprint, Binary und Snippet – um die in der Software eines Unternehmens verwendeten Komponenten zu verfolgen und zu verwalten. Synopsis hat vor kurzem die SBOM-Erstellungsfunktionen von Black Duck verbessert, um BLANK einzubeziehen.

Neben der Erstellung von BOMs führt das Tool auch ein automatisiertes Richtlinienmanagement durch. Black Duck ist Teil des breiteren Portfolios an AppSec-Tools von Synopsys, das Gartner in seinem Magic Quadrant für Application Security Testing als führend einstuft. Das offene Plattformmodell, das zur Bereitstellung von SCA neben DAST, SAST, Penetrationstests, Fuzzing und einer Reihe anderer Testfunktionen verwendet wird, ist ein wichtiges Wertversprechen. Es macht Synopsys zu einer guten Wahl für Unternehmen mit komplexer Multiteam-Entwicklung, die einen Mix aus Entwicklungsstilen und Programmiertechnologien verwenden“, so Gartner.

White Source Software

Ein großes Highlight der SCA-Werkzeuge von WhiteSource Software ist die entwicklerfreundliche Behebung von Sicherheitsproblemen bei Komponenten, einschließlich der Warnung und Behebung von veralteten und bösartigen Komponenten. „Die Vordenkerrolle von WhiteSource konzentriert sich auf Abhilfe und Priorisierung“, schreiben die Analysten von Forrester, die den Anbieter als führend im SCA-Bereich einstufen. „WhiteSource bietet differenzierende Funktionen, darunter ein Browser-Plugin, das dabei hilft, problematische Komponenten zu vermeiden und nicht erreichbare Schwachstellen aus der Entwicklerwarteschlange zu entfernen, um die Nutzererfahrung zu verbessern.“ Ein Punkt, in dem WhiteSource ihrer Meinung nach hinterherhinkt, ist das Fehlen von Out-of-the-Box-Richtlinien.

*Ericka Chickowski ist auf die Berichterstattung über Informationstechnologie und Unternehmensinnovationen spezialisiert. Sie konzentriert sich seit fast einem Jahrzehnt auf die Informationssicherheit und schreibt regelmäßig über die Sicherheitsbranche.


Mehr Artikel

Gregor Schmid, Projektcenterleiter bei Kumavision, über die Digitalisierung im Mittelstand und die Chancen durch Künstliche Intelligenz. (c) timeline/Rudi Handl
Interview

„Die Zukunft ist modular, flexibel und KI-gestützt“

Im Gespräch mit der ITWELT.at verdeutlicht Gregor Schmid, Projektcenterleiter bei Kumavision, wie sehr sich die Anforderungen an ERP-Systeme und die digitale Transformation in den letzten Jahren verändert haben und verweist dabei auf den Trend zu modularen Lösungen, die Bedeutung der Cloud und die Rolle von Künstlicher Intelligenz (KI) in der Unternehmenspraxis. […]

News

Richtlinien für sichere KI-Entwicklung

Die „Guidelines for Secure Development and Deployment of AI Systems“ von Kaspersky behandeln zentrale Aspekte der Entwicklung, Bereitstellung und des Betriebs von KI-Systemen, einschließlich Design, bewährter Sicherheitspraktiken und Integration, ohne sich auf die Entwicklung grundlegender Modelle zu fokussieren. […]

News

Datensilos blockieren Abwehrkräfte von generativer KI

Damit KI eine Rolle in der Cyberabwehr spielen kann, ist sie auf leicht zugängliche Echtzeitdaten angewiesen. Das heißt, die zunehmende Leistungsfähigkeit von GenAI kann nur dann wirksam werden, wenn die KI Zugriff auf einwandfreie, validierte, standardisierte und vor allem hochverfügbare Daten in allen Anwendungen und Systemen sowie für alle Nutzer hat. Dies setzt allerdings voraus, dass Unternehmen in der Lage sind, ihre Datensilos aufzulösen. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*