Unser Blog

Hintergrund SLSA (Supply-Chain Levels for Software Artifacts) ist ein Sicherheitsrahmenwerk, das darauf abzielt, Manipulationen zu verhindern, die Integrität zu verbessern und Pakete und Infrastruktur zu sichern. Das Kernkonzept von SLSA besteht darin, dass einem Software-Artefakt nur dann vertraut werden kann, wenn es drei Anforderungen erfüllt: Das Artefakt sollte über ein Provenienzdokument verfügen, das seinen Ursprung und seinen Erstellungsprozess beschreibt […]

„Softwareanbieter müssen haftbar gemacht werden, wenn sie ihrer Sorgfaltspflicht gegenüber Verbrauchern, Unternehmen oder Anbietern kritischer Infrastruktur nicht nachkommen“ (das Weiße Haus). Heutzutage wird von jedem Softwareanbieter erwartet, dass er durch vertragliche Vereinbarungen, Software-Releases und -Updates, Benachrichtigungen und […] eine größere Verantwortung für die Gewährleistung der Integrität und Sicherheit von Software übernimmt.

TL;DR In den letzten Jahren hat sich die Technologiebranche vehement für das Konzept des „Shift Left“ in der Softwareentwicklung eingesetzt und sich für eine frühzeitige Integration von Sicherheitspraktiken in den Entwicklungslebenszyklus eingesetzt. Ziel dieser Bewegung ist es, Entwicklern die Verantwortung zu übertragen, die Sicherheit ihres Codes von Beginn des Projekts an zu gewährleisten. Obwohl die Absichten hinter diesem Ansatz […]

Die Branche hat die Idee einer SBOM noch nicht vollständig verstanden, und wir hören bereits einen neuen Begriff – ML-BOM – Machine Learning Bill of Material. Bevor Panik ausbricht, wollen wir verstehen, warum eine solche Stückliste erstellt werden sollte, welche Herausforderungen bei der Generierung einer ML-Stückliste bestehen und wie eine solche ML-Stückliste aussehen kann. […]

Eines der Risiken der Software-Lieferkette ist die Offenlegung von Geheimnissen. Überall in der Software-Lieferkette lauern Geheimnisse. Entwickler und die CI\CD-Pipelines müssen Geheimnisse verwenden, um auf den SCM, die Pipeline, die Artefaktregister, die Cloud-Umgebungen und externe Dienste zuzugreifen. Und wenn es überall Geheimnisse gibt, ist es eine Frage der Zeit […]

Anfang August veröffentlichte das US-amerikanische National Institute of Standards and Technology (NIST) einen Entwurf 2.0 seines wegweisenden Cybersecurity Framework, das erstmals 2014 veröffentlicht wurde. In den letzten 10 Jahren hat sich viel verändert, nicht zuletzt das steigende Niveau Cybersicherheitsbedrohungen, die im Originaldokument dargelegt wurden, um kritischen […]

Wir haben alle in letzter Zeit viel über SBOMs gehört. Wir hörten von ihrem Nutzen, ihrer Zusammensetzung und ihren Anforderungen an Sicherheit und Regulierung. Dieses Mal möchte ich mir die Zeit nehmen, über einen etwas weniger bekannten Abschnitt des CyclonDX SBOM zu sprechen – den Abhängigkeitsgraphen. Anders als der Name vermuten lässt, ist der Abhängigkeitsgraph kein […]

In den letzten Jahren wurde viel über die SBOM – Software Bill Of Materials – geschrieben. Bei all dieser Offenlegung haben die Leute das Gefühl, dass sie gut genug wissen, was es zu erklären gilt – es handelt sich um eine Liste von Softwarebestandteilen, es ist wichtig für Transparenz und Sicherheit und es hilft dabei, vorübergehende Abhängigkeiten aufzudecken. Alle […]

Valint ist das wichtigste Scribe-Tool zum Erstellen, Verwalten, Signieren und Überprüfen von Beweisen. In einem früheren Beitrag haben wir die Theorie behandelt, wie das Signieren und Verifizieren von Beweisen als Hauptinstrument zur Validierung der Sicherheit Ihrer CI/CD-Pipeline dient. Zur Erinnerung: Das von Scribe vorgeschlagene Modell umfasst mehrere Bausteine, die gemischt und […] gemischt werden können.

Im September 2022 veröffentlichte das US-amerikanische Amt für Verwaltung und Haushalt (OMB) ein wegweisendes Memo über die Schritte, die erforderlich sind, um Ihre Software-Lieferkette auf ein für die US-Bundesregierung akzeptables Maß zu sichern. Jedes Unternehmen, das mit der Regierung und einer Bundesbehörde, die Software herstellt, Geschäfte machen möchte, muss […]