Sichere Verwendung von Free und Open-Source-Software

Software wird nur selten "auf der grünen Wiese" entwickelt. Viele Software Entwickler sind heute "Komponisten", die aus existierenden Komponenten und eigenem Programmcode neue Softwarekompositionen schaffen.
Selbst wenn nur wenige Zeilen einer Anwendung selbst programmiert wurden, haftet der Entwickler für allen ausgelieferten Programmcode, d.h., er ist auch für alle Schwachstellen in verwendeten externen Bibliotheken verantwortlich.
In diesem Vortrag stelle ich die Herausforderungen der sicheren Integration von Drittkomponenten vor und bespreche die notwendigen Schritte – von der initialen Auswahl bis zur Wartung –, um das Risiko durch Free- bzw. Open-Source-Software-Drittkomponenten zu minimieren.

Vorkenntnisse

* Grundlegende Kenntnisse im Bereich Softwaresicherheit (CVE/CWE)
* Grundlegende Kenntnisse der Softwareentwicklung
* Grundverständnis der Open-Source-Entwicklungsmodelle

Lernziele

Nach dem Vortrag sollten die Teilnehmer
* verstehen, welche Risiken mit den Einsatz von Drittkomponenten verbunden sind,
* verstehen, welche Schritten notwendig sind, um die Risiken zu beherrschen,
* die aktuellen Werkzeuge und Techniken in diesem Bereich (z.B. Software Composition Analysis) einschätzen können,
* die verschiedenen Möglichkeiten zur Wartung von verwendeten Free-/Open-Source-Komponenten verstehen.