Softwareabhängigkeiten mit OWASP-Tool überwachen

Das OWASP-Dependency-Check-Plug-in sorgt für die permanente Überwachung der Softwarelieferkette auf Sicherheitslücken ist Bestandteil jeder DevSecOps-Strategie.

Artikel verschenken

27.10.2022, 15:00 Uhr

Lesezeit: 9 Min.

iX Magazin

Von

Dr. André Janus

Softwareabhängigkeiten mit OWASP-Tool überwachen
- Bibliotheken und Sicherheitslücken
Jenkins und das OWASP-Dependency-Check-Plug-in
Fazit

Artikel in iX 11/2022 lesen

Die seit Dezember 2021 nicht nur in den Fachmedien vielfach besprochene Sicherheitslücke im Java-Logging-Framework Log4j und ihre Folgen zeigen, wie anfällig Software durch Schwachstellen in Bibliotheken ist; besonders, wenn sie wie beliebte Open-Source-Bibliotheken sehr viele Nutzer haben. Zum einen werden Lücken dort eher gefunden, da viele dort suchen: Softwaresicherheitsforscher, die Entwickler selbst, etwa im Rahmen von Reviews, aber natürlich auch Angreifer. Zum anderen ergeben sich durch die weite Verbreitung viele Ziele, also Anwendungen, die kompromittiert werden könnten.

Entwickler und Betreiber der Anwendungen müssen daher schnell auf diese Bedrohungen reagieren. Das DevSecOps-Konzept, bei dem Entwicklung (Dev), Sicherheit (Sec) und Betrieb (Ops) eng miteinander verbunden sind, bietet dafür gute Voraussetzungen.

Der hier vorgeschlagene Ansatz nutzt die CI-Engine Jenkins und ein Plug-in des Open Web Application Security Project (OWASP). Doch vor dem praktischen Einstieg ist es sinnvoll zu verstehen, wie Sicherheitslücken und Softwarekomponenten identifizierbar und referenzierbar werden und woher das Plug-in seine Informationen bezieht. Als Beispiel dienen die Abhängigkeiten des Java-Frameworks POI, das zum Lesen und Schreiben von MS-Office-Dateien dient.

Immer mehr Wissen. Das digitale Abo für IT und Technik.

OpenCore Legacy Patcher: Wie Sie alte Macs mit jungem macOS aufbrezeln

Äußerlich verschlissen, aber innen fit? Alte Macs kann man mit einem modernen macOS aufrüsten und weiternutzen, obwohl Apple das nicht vorsieht.

Hackintosh mit Sonoma bauen

Fujifilm X100VI im Test: Neuauflage der beliebten Edelkompaktkamera

Da ihre Vorgängerin nur in geringen Stückzahlen erhältlich war, sind viele Fotografen gespannt auf die neue Edelkompakte Fujifilm X100VI.

Elektroauto MG4 Trophy im Test: Bestseller mit Batterie-Upgrade

Der MG4 ist das meistverkaufte Elektroauto aus China. Mit der größeren Batterie wird es deutlich teurer, doch wie viel weiter kommt man nach dem Upgrade?

App-gesteuertes Teleskop: Unistellar Odyssey Pro im Test

Das smarte Teleskop Odyssey Pro von Unistellar fotografiert Planeten und Galaxien über eine verbundene Smartphone-App. Was das Teleskop leistet, zeigt der Test.

Innovative,Ai,Robot,Tutor,Helping,A,Teenage,Boy,With,Homework,

Fremdsprachen lernen: Wie man ChatGPT zum Sprechtrainer aufrüstet

Sie möchten mit einem KI-Sprechtrainer eine Fremdsprache üben, dafür aber kein Abo abschließen? ChatGPT macht es möglich – sogar in der kostenlosen Version.

ChatGPT optimieren

Das Bild zeigt zwei Kreditkarten von Mastercard und Visa.

Prepaid, Debit, Credit: Wie Sie die passende Kreditkarte finden

Nach dem Maestro-Aus nimmt die Bedeutung von Kreditkarten zu. Die Wahl der passenden Karte sollte aber nicht nur von den Grundgebühren abhängen.

ETF: So sicher ist der MSCI World

Immer mehr Wissen. Das digitale Abo für IT und Technik.

OpenCore Legacy Patcher: Wie Sie alte Macs mit jungem macOS aufbrezeln

Äußerlich verschlissen, aber innen fit? Alte Macs kann man mit einem modernen macOS aufrüsten und weiternutzen, obwohl Apple das nicht vorsieht.

Hackintosh mit Sonoma bauen

Fujifilm X100VI im Test: Neuauflage der beliebten Edelkompaktkamera

Da ihre Vorgängerin nur in geringen Stückzahlen erhältlich war, sind viele Fotografen gespannt auf die neue Edelkompakte Fujifilm X100VI.

Elektroauto MG4 Trophy im Test: Bestseller mit Batterie-Upgrade

Der MG4 ist das meistverkaufte Elektroauto aus China. Mit der größeren Batterie wird es deutlich teurer, doch wie viel weiter kommt man nach dem Upgrade?

App-gesteuertes Teleskop: Unistellar Odyssey Pro im Test

Das smarte Teleskop Odyssey Pro von Unistellar fotografiert Planeten und Galaxien über eine verbundene Smartphone-App. Was das Teleskop leistet, zeigt der Test.

Fremdsprachen lernen: Wie man ChatGPT zum Sprechtrainer aufrüstet

Sie möchten mit einem KI-Sprechtrainer eine Fremdsprache üben, dafür aber kein Abo abschließen? ChatGPT macht es möglich – sogar in der kostenlosen Version.

ChatGPT optimieren

Prepaid, Debit, Credit: Wie Sie die passende Kreditkarte finden

Nach dem Maestro-Aus nimmt die Bedeutung von Kreditkarten zu. Die Wahl der passenden Karte sollte aber nicht nur von den Grundgebühren abhängen.

ETF: So sicher ist der MSCI World

nach oben

Alle Angebote

Newsletter heise-Bot Push Push-Nachrichten

${intro} ${title}

${intro} ${title}

Softwareabhängigkeiten mit OWASP-Tool überwachen

Immer mehr Wissen. Das digitale Abo für IT und Technik.

OpenCore Legacy Patcher: Wie Sie alte Macs mit jungem macOS aufbrezeln

Fujifilm X100VI im Test: Neuauflage der beliebten Edelkompaktkamera

Elektroauto MG4 Trophy im Test: Bestseller mit Batterie-Upgrade

App-gesteuertes Teleskop: Unistellar Odyssey Pro im Test

Fremdsprachen lernen: Wie man ChatGPT zum Sprechtrainer aufrüstet

Prepaid, Debit, Credit: Wie Sie die passende Kreditkarte finden

Immer mehr Wissen. Das digitale Abo für IT und Technik.

OpenCore Legacy Patcher: Wie Sie alte Macs mit jungem macOS aufbrezeln

Fujifilm X100VI im Test: Neuauflage der beliebten Edelkompaktkamera

Elektroauto MG4 Trophy im Test: Bestseller mit Batterie-Upgrade

App-gesteuertes Teleskop: Unistellar Odyssey Pro im Test

Fremdsprachen lernen: Wie man ChatGPT zum Sprechtrainer aufrüstet

Prepaid, Debit, Credit: Wie Sie die passende Kreditkarte finden

Spiele

Für alle unter 30: heise+ mit 50% Rabatt

Das digitale Abo für IT und Technik.