Erkennung, Bewertung und Korrektur schwachstellenbehafteter Open-Source-Abhängigkeiten

Die Verwendung von Open-Source Komponenten bei der Anwendungsentwicklung bringt gewichtige Sicherheitsrisiken mit sich, insbesondere die Integration von schwachstellenbehafteten oder gar bösartigen Open-Source-Komponenten (siehe Equifax oder event-stream).

Die Erkennung, Bewertung und Beseitigung solcher Komponenten im anwendungsspezifischen Kontext ist die Aufgabe eines seit 2015 bei der SAP im Einsatz befindlichen und 2018 als Open Source veröffentlichten Tools (https://github.com/SAP/vulnerability-assessment-tool). Es arbeitet auf der Basis von Java-Source- und Bytecode, umfasst statische und dynamische Erreichbarkeitsanalysen und integriert sich nahtlos in DevOps-Prozesse.

Vorkenntnisse

* Java
* Maven
* Jenkins
* CVE/CVSS

Lernziele

Die Zuhörer/-innen erhalten einen Überblick über die Funktionalität des Open-Source-Vulnerability-Assessment-Tools, auch in Abgrenzung zu anderen Tools in diesem Markt, und dessen Integration in DevOps-Prozesse.

 

Referent

 

Henrik Plate Henrik Plate arbeitet seit 2007 fuer SAP Security Research im Bereich Application Security. Seit 2013 beschäftigt er sich in diesem Rahmen mit der sicheren Verwendung von Open-Source-Komponenten. Er besitzt ein Diplom der Universität Mannheim im Fach Wirtschaftsinformatik.

Gold-Sponsoren

RIGS IT
WIBU Systems

Silber-Sponsor

RIPS Technologies

heise-devSec-Newsletter

Sie möchten über die heise devSec
auf dem Laufenden gehalten werden?

 

Anmelden