Software wird nur selten "auf der grünen Wiese" entwickelt. Viele Software Entwickler sind heute "Komponisten", die aus existierenden Komponenten und eigenem Programmcode neue Softwarekompositionen schaffen.
Selbst wenn nur wenige Zeilen einer Anwendung selbst programmiert wurden, haftet der Entwickler für allen ausgelieferten Programmcode, d.h., er ist auch für alle Schwachstellen in verwendeten externen Bibliotheken verantwortlich.
In diesem Vortrag stelle ich die Herausforderungen der sicheren Integration von Drittkomponenten vor und bespreche die notwendigen Schritte – von der initialen Auswahl bis zur Wartung –, um das Risiko durch Free- bzw. Open-Source-Software-Drittkomponenten zu minimieren.
Vorkenntnisse
* Grundlegende Kenntnisse im Bereich Softwaresicherheit (CVE/CWE)
* Grundlegende Kenntnisse der Softwareentwicklung
* Grundverständnis der Open-Source-Entwicklungsmodelle
Lernziele
Nach dem Vortrag sollten die Teilnehmer
* verstehen, welche Risiken mit den Einsatz von Drittkomponenten verbunden sind,
* verstehen, welche Schritten notwendig sind, um die Risiken zu beherrschen,
* die aktuellen Werkzeuge und Techniken in diesem Bereich (z.B. Software Composition Analysis) einschätzen können,
* die verschiedenen Möglichkeiten zur Wartung von verwendeten Free-/Open-Source-Komponenten verstehen.
//
Achim D. Brucker
@adbrucker
leitet das Software Assurance & Security Research Team (https://logicalhacking.com) der Universität Sheffield. Davor war Dr. Brucker (https://www.brucker.ch) im Bereich statische und dynamische Sicherheitstests bei der SAP SE tätig. Unter anderem hat er die Securitytest-Strategie der SAP definiert sowie Sicherheitstest im Inbound und Outbound Open Source Process der SAP durchgeführt.