Black Duck und Cigital verhelfen zu mehr Sicherheit bei der Entwicklung von Softwareanwendungen - egal ob quelloffener oder proprietärer Code eingesetzt wird
(firmenpresse) - Open Source Software (OSS) bietet unbestreitbar Vorteile - birgt aber auch ein nicht zu unterschätzendes Sicherheitsrisiko. Laut einer Studie von Black Duck (https://info.blackducksoftware.com/rs/872-OLS-526/images/OSSAReportFINAL.pdf) wurden bei 67% der getesteten Anwendungen Open Source-Komponenten im Durchschnitt 22,5 Sicherheitslücken gefunden. Doch auch selbstentwickelte Software-Komponenten sind nicht vor potentiellen Schwachstellen gefeit.
Softwareanwendungen haben sich in den letzten Jahren und Jahrzehnten zunehmend verändert. Sie sind längst keine einfachen und monolithischen Gebilde mehr. Bei ihrer Entwicklung wird eine Kombination aus selbstentwickeltem Code und Open Source-Komponenten verwendet. Diese Zusammensetzung stellt traditionelle Tools zur Überprüfung der Anwendungssicherheit vor Probleme. Klassische Tools eignen sich gut für die Überprüfung proprietärer Software, doch für ein erfolgreiches Management von OSS-Komponenten bedarf es zusätzlicher Mittel, um Sicherheitsrisiken zu vermeiden.
Und diese Risiken sind extrem hoch, besonders bei kommerziellen Anwendungen, denn hier werden bei Sicherheitslücken auch die Informationen der Kunden angreifbar. Unternehmen brauchen deshalb einen ganzheitlichen Ansatz, der gewährleistet, dass die entwickelte Softwareanwendung nicht angreifbar ist.
Die Partnerschaft zwischen Black Duck und Cigital unterstützt sie bei einem solchen Ansatz: Während Cigital sich um die selbstgeschriebenen Softwareelemente kümmert, nimmt Black Duck die Open Source-Komponenten unter die Lupe. Die Kombination beider Maßnahmen stellt sicher, dass Sicherlücken erkannt und behoben werden, bevor sie Ziel eines Angriffs werden können. So wird das Gesamtrisiko drastisch gesenkt.
Black Duck steht dabei die hauseigene Black Duck Knowledge Base (https://www.blackducksoftware.de/products/knowledgebase) zur Verfügung, eine Datenbank, welche die Informationen von über einer Million Softwareprojekten auf über 8.500 Seiten über die letzten zehn Jahre enthält. Sie bildet die Datengrundlage für den Black Duck Hub (https://www.blackducksoftware.de/products/black-duck-hub), mithilfe dessen Open Source Security effektiv analysiert und verwaltet wird. Zudem überwacht er sämtliche eingesetzte Software permanent und alarmiert das zuständige Personal, wenn neu bekannt gewordene Sicherheitslücken auftauchen.
Weitere Informationen:
- Ankündigung der Partnerschaft im Blog von Black Duck (http://osdelivers.blackducksoftware.com/2016/08/24/cigital-black-duck-join-forces/)
- Ankündigung der Partnerschaft im Blog von Cigital (https://www.cigital.com/blog/cigital-black-duck-secure-enterprise-software/)
- Studie: The State of Open Source Security in Commercial Applications (https://info.blackducksoftware.com/rs/872-OLS-526/images/OSSAReportFINAL.pdf)
- Black Duck Hub (https://www.blackducksoftware.de/products/black-duck-hub)
- Black Duck Knowledge Base (https://www.blackducksoftware.de/products/knowledgebase)
Unternehmen weltweit setzen die branchenführenden Produkte von Black Duck Software ein, um ihre Open Source Software zu schützen und zu verwalten und um Gefahren durch Sicherheitslücken, Compliance-Verstößen und betriebliche Risiken zu beheben. Black Duck hat seinen Hauptsitz in Burlington, Massachusetts und hat Niederlassungen in Mountain View, London, Frankfurt, Hongkong, Tokio, Seoul und Peking.
Lucy Turpin Communications
Birgit Fuchs-Laine
Prinzregentenstraße 79
81675 München
blackduck(at)lucyturpin.com
089-417761-13
https://www.blackducksoftware.de/