License Compliance als Kernkompetenz von CCP

Kennen Sie die Lizenzbedingungen der von Ihnen genutzten Open-Source-Produkte? Kennen Sie darüber hinaus die Open-Source-Komponenten in Ihren selbst entwickelten Anwendungen? Können Sie die Risiken einschätzen, welche sich aus der Nutzung von Open Source Komponenten in Ihrem Unternehmen ergeben?

Da viele beim Nachdenken über diese Fragestellungen zurecht etwas unsicher werden, rückt CCP das Thema Compliance und Open Source verstärkt in den Fokus.

Das Beraterteam von CCP steht mit seinen Experten gerne für eine Beratung zu den Risiken zur Verfügung und analysiert Ihre Open-Source-Landschaft. Neben der Compliance werden auch die sich aus der Open-Source-Nutzung ergebenden Security- und Betriebssicherheitsrisiken betrachtet. Auf Basis der Analyseergebnisse erarbeiten wir – gerne mit Ihnen gemeinsam – eine Konzeption von Maßnahmen zur Reduzierung von Risiken und zur wirtschaftlicheren Nutzung der Open-Source-Komponenten.

Da die Analyse ohne professionelle Werkzeuge kaum durchzuführen ist, nutzen wir die Analysewerkzeuge Unseres Partners Black Duck. Auf dieser Seite möchten wir Ihnen daher Black Duck und das Analysewerkzeug näher vorstellen.

Suche und Beseitigung von Open-Source-Sicherheitslücken

Black Duck Hub hilft Sicherheits- und Entwicklungsteams bei der Identifizierung und Beseitigung von Open-Source-Risiken für das gesamte Anwendungsportfolio.

Black Duck Hub dient folgenden Zwecken:

  • Scannen von Code zur Identifikation von spezifischen verwendeten Open-Source-Komponenten
  • Automatische Zuordnung bekannter Sicherheitslücken zu verwendeten Open-Source-Komponenten
  • Selektierung – Risikobewertung und Priorisierung von Sicherheitslücken
  • Planung und Verfolgung der Problembehebung
  • Identifikation von Lizenzen und Community-Aktivitäten

Andere statische Analyselösungen konzentrieren sich meist auf die Aufdeckung von codebedingten Sicherheitslücken, die Entwickler beim Schreiben des Codes einfügen. Diese Lösungen erfassen jedoch nur einen geringfügigen Anteil der im Laufe der Zeit festgestellten Sicherheitslücken. Schwachstellen wie Heartbleed, Shellshock, Poodle oder Ghost haben uns gezeigt, wie sehr beliebte Open-Source-Komponenten zur Verwundbarkeit beitragen können. Diese öffentlich heiß diskutierten Sicherheitslücken stellen jedoch nur einen verschwindend geringen Anteil der über 4.000 Open-Source-Sicherheitslücken dar, die jedes Jahr gemeldet werden.

Nur mit Black Duck erhalten Sie Folgendes:

  • Umfassende Abdeckung von Programmiersprachen und Integration von Entwicklungstools
  • Branchenweit umfassendste Datenbank zu Open-Source-Software: KnowledgeBase
  • Integrierte Verfolgung und Verwaltung von Problembehebungen

SICHERHEIT BEGINNT MIT TRANSPARENZ

Die Gewährleistung eines transparenten Überblicks über die verwendeten Open-Source-Komponenten in Ihrer Codebasis ist der erste Schritt zur sicheren Open-Source-Nutzung. Einen transparenten Überblick zu haben heißt, dass Sie nicht nur genau wissen, welche Open-Source-Bibliotheken im Einsatz sind, sondern auch wo und wie diese verwendet werden. Black Duck Hub scannt Ihren Code kontinuierlich und erfasst so spezifische Open-Source-Bibliotheken und -Versionen. Dank regelmäßiger Updates aus der US-amerikanischen National Vulnerability Database (NVD) sowie aus VulnDB, einer umfassenderen und aktuelleren Datenbank für Sicherheitslücken, kann die Black Duck KnowledgeBase™ Open-Source-Bibliotheken wichtigen Metadaten bezüglich Sicherheitslücken, Lizenzen, Community-Aktivitäten und Versionen zuordnen.

Mit Black Duck Hub werden Ihre Projekte kontinuierlich auf neu eingefügte Open-Source-Komponenten untersucht, sodass Sie Sicherheitslücken beheben können, bevor diese zum Problem werden. Sie erhaltenzudem die Möglichkeit, Sicherheitslücken zu prüfen und zu priorisieren, Daten für Gegenmaßnahmen festzulegen und die Behebung zu verfolgen. Black Duck Hub sucht automatisch nach neuen Sicherheitslücken und meldet und vergleicht diese später mit den Open-Source-Bibliotheken, die in Ihren Anwendungen eingesetzt werden. So können Sie schnell auf neue Schwachstellen reagieren.

HAUPTFUNKTIONEN VON BLACK DUCK HUB

SCHNELLES SCANNEN UND ERKENNENSie müssen Ihren Code kennen. Mit der automatischen Scanfunktion von Hub werden Open-Source-Komponenten in Ihren Anwendungen und Containern erfasst und inventarisiert, auch Komponenten, die in den Paketdateien nicht angegeben wurden.
BUILD-TOOL-INTEGRATIONENMit dem Jenkins-Plug-in können Sie Hub in Ihre Umgebung für kontinuierliche Integration einbinden. So können Sie die Scans, die Identifikation und die Erstellung einer Open-Source-Stückliste automatisieren.
ANPASSBARE STÜCKLISTEMit einer bearbeitbaren Stückliste für Open-Source-Software behalten Sie den Überblick.
In dieser Liste werden die Ergebnisse der automatischen Scans, der Build-Tool- und Paketverwaltungsangaben sowie manuelle Einträge zentral zusammengefasst.
UMFASSENDE OPEN-SOURCE-DATENBANKMit der Black Duck KnowledgeBase™, der weltweit umfassendsten Datenbank mit einer siebenstelligen Zahl an Open-Source-Projekten, können Sie korrekte Informationen abrufen und Sicherheitslücken zuverlässig identifizieren und verwendeten Open-Source-Komponenten in Ihren Projekten in Echtzeit zuordnen.
AUTOMATISCHE SICHERHEITS-LÜCKENZUORDNUNG UND WARNMELDUNGENSie können bekannte Sicherheitslücken, die sich in der in Ihren Anwendungen eingesetzten Open-Source-Software befinden, identifizieren und erhalten Warnmeldungen, sobald neue Sicherheitslücken bekannt werden, die Sie betreffen. Mit dem VulnDB-Add-on erhalten Sie Zugriff auf mehr Sicherheitslücken und frühere Warnmeldungen.
SUCHWERKZEUGE FÜR SICHERHEITSLÜCKENSie können anhand von CVE-Nummer, Sicherheitslücken-ID oder Name in zahlreichen Quellen, wie zum Beispiel der US-amerikanischen National Vulnerability Database (NVD) und VulnDB, nach Sicherheitslücken suchen. Sie können detailliertere Informationen über die Sicherheitslücken abrufen, um genauere Risikoanalysen zu erstellen, betroffene interne Projektversionen zu identifizieren, Quelldateien zu orten und den Fortschritt der Problembehebung zu verfolgen.
VERFOLGUNG DER PROBLEMBEHEBUNGSie können geplante und tatsächliche Fortschritte bei der Behebung von Sicherheitslücken in einzelnen Projekten verfolgen. Problembehebungsberichte können dank der CSV-Exportfunktion problemlos in Drittanbietersoftware importiert werden.
RICHTLINIENVERWALTUNGSie können Richtlinien für Open-Source-Projekte, Lizenztypen und akzeptable Sicherheitslücken festlegen. Sie werden schnell über Verstöße gegen die Richtlinien informiert und können Ausnahmen für bestimmte Projekte und Komponenten festlegen.
RISIKO-DASHBOARDS UND -BERICHTEDank einfach verständlicher Dashboards und Berichte zu Sicherheit, Lizenzen, Risiken der Community-Aktivitäten und Fortschritten bei der Fehlerbehebung können Sie Risiken in einzelnen bzw. allen Projekten analysieren.
INTEGRATION MIT IBM APPSCAN ENTERPRISEWenn Sie Black Duck Hub und IBM AppScan gemeinsam verwenden, können Sie Sicherheitsrisiken für Open-Source-Code und selbst erstellten Code auf einem einzigen Dashboard anzeigen und verwalten.

ÜBER BLACK DUCK SOFTWARE

Organisationen auf der ganzen Welt verwenden die branchenführenden Produkte von Black Duck Software und automatisieren so Sicherung und Verwaltung von Open-Source-Software. Durch diese Automatisierung gehören komplizierte Verfahren bezüglich Sicherheitslücken, Einhaltung von Open-Source-Lizenzanforderungen und Betriebsrisiken der Vergangenheit an. Black Duck hat seinen Firmensitz in Burlington in den USA sowie Zweigstellen in San Jose in Kalifornien, in London, Frankfurt, Hongkong, Tokio, Seoul und Peking.

CCP ist Ihr Ansprechpartner für die Lizenzierung

Wir als CCP haben uns auf intelligente Softwarelizenzierung spezialisiert und unterstützen Sie bei sämtlichen Fragen rund um das Thema Open Source. Als Partner namhafter Open Source Hersteller wie SUSE und Red Hat überzeugen wir durch unsere langjährige Projekterfahrung und Beratung von Enterprise-Kunden beim Abschluss individueller Rahmenverträge.

Sollten Sie Interesse an Black Duck Software haben oder noch weitere Fragen offen sein, dann kontaktieren Sie uns – wir beraten Sie gerne.