Tools zur Schwachstellenprüfung für mehr Transparenz in Softwareprojekten

Inhaltsverzeichnis

Software Supply Chain Security ist vom Randthema zum Pflichtprogramm geworden. Das liegt zum einen an immer dichteren Regulierungen, die Transparenz und Resilienz einfordern, und zum andern an der Erkenntnis, dass moderne Software aus einem dichten Geflecht von Abhängigkeiten besteht, deren Risiken man ohne maschinenlesbare Inventare kaum beherrscht. Zwei Bausteine ragen dabei heraus: die Software Bill of Materials (SBOM) als strukturierte Zutatenliste und der Schwachstellenscan, der diese Zutatenliste mit Bedrohungsdatenbanken und Advisories abgleicht.

Häufig eingesetzte Open-Source-Tools sind dep-scan von OWASP und Syft von Anchore. Syft erstellt SBOMs in den etablierten Standards CycloneDX (CDX) und Software Package Data Exchange (SPDX). dep-scan wertet Abhängigkeiten mit besonderem Blick auf Schwachstellen, Risiken und Compliance aus – wahlweise mit Quellcodes als Basis oder direkt aus einer SBOM. Kombiniert man beide Werkzeuge, hat man eine stabile Grundlage, um Anforderungen aus Audits, (Kunden-)Projekten und Gesetzen effizient zu erfüllen.

iX-tract

• Um die Sicherheit von Softwarelieferketten zu gewährleisten, braucht man Tools, die Schwachstellen und Lizenzprobleme von Komponenten prüfen.
• Syft erstellt SBOMs (Software Bills of Materials), mit denen sich die Compliance von Komponenten automatisiert prüfen lässt.
• Um Abhängigkeiten zu identifizieren, scannt dep-scan Projektdateien und gleicht die Abhängigkeiten dann mit bekannten Schwachstellen ab.

Themenschwerpunkt: Schwachstellen in Software finden

Wo und wie ist meine IT angreifbar? Um das herauszufinden, helfen vielfältige kostenlose Werkzeuge: Tools für das Attack Surface Management erkennen Angriffsflächen, die Analyse des eigenen Sourcecodes und von Dependencies findet Schwachstellen in selbst entwickelter Software, Scanner für Cloud-Umgebungen identifizieren Schwachstellen im laufenden Betrieb.

• BBOT: Angriffsflächen automatisch erkennen und Risiken reduzieren
• Microsoft-365-Audits mit Maester automatisch sichern
• Prüftools zur automatisierten Untersuchung großer Cloud-Umgebungen
• Nuclei im Test: Open-Source-Tool für Schwachstellenscans in Webanwendungen
• Sicherheitslücken mit SAST-Tools früh erkennen
• Tools zur Schwachstellenprüfung für mehr Transparenz in Softwareprojekten

André Moll

André Moll ist Expert bei der HiSolutions AG für DevOps und Cloud-Transformation. Er begleitet Kunden in allen Disziplinen auf dem Weg zur Cloud vor, während und nach der Transformation.

Der regulatorische Referenzrahmen für Europa ist der am 20. November 2024 veröffentlichte Cyber Resilience Act – Regulation (EU) 2024/2847. Er trat am 10. Dezember 2024 in Kraft und gilt ab dem 11. Dezember 2027 vollumfänglich. In den USA definierte die Exekutivanordnung 14028 die Basis für SBOM-Transparenz; die US-Behörde National Telecommunications and Information Administration (NTIA) publizierte dafür die Minimum Elements, die die Cybersecurity and Infrastructure Security Agency (CISA) seit 2024/2025 weiter präzisiert. Diese Referenzgesetze erklären, warum das Erzeugen von SBOMs mit anschließender Risikoanalyse heute zum Normalbetrieb gehört.

Das war die Leseprobe unseres heise-Plus-Artikels "Tools zur Schwachstellenprüfung für mehr Transparenz in Softwareprojekten". Mit einem heise-Plus-Abo können Sie den ganzen Artikel lesen.