Jetzt vormerken: heise devSec 2025 am 30. September und 1. Oktober in Regensburg

Verifiable Trust: Ein pragmatischer Zugang zu Software Supply Chains

SBOM und CVE, SLSA und Provenance, Code Signing und Trust – viele Themen, noch mehr Standards. Wer soll da die Übersicht behalten? Berücksichtigt man auch noch direkte und indirekte Abhängigkeiten, erscheint die Lage ernüchternd. Sollte man vielleicht besser abwarten, bis die Lage sich klärt? Oder kann man jetzt schon etwas tun?

Dieser Vortrag liefert einen Überblick über den Stand der Dinge, einen Ausblick in die Zukunft – und eine heute umsetzbare Annäherung, um Risiken zurückzudrängen und echte Sicherheitsgewinne zu erzielen.

Vorkenntnisse

Grundkenntnisse über Software-Entwicklung, Continuous Integration und Package Management

Lernziele

  • Aktuelle Bedrohungslandschaft in der Software-Produktion, insbesondere gezielte Angriffe auf Hersteller
  • Einordnung aktueller Standards bzw. Standardisierungsbemühungen zur Software Supply Chain
  • Grundlagen zur Priorisierung und Planung eigener Maßnahmen

Speaker

 

Stefan Wenig
Stefan Wenig ist CEO der SignPath GmbH in Wien. Mit seinem Team liefert er eine Code Signing Plattform und berät Kunden bei deren Einbindung in umfassende Sicherheitsmaßnahmen bei der Software-Herstellung. Diese Erfahrungen sind auch Grundlage für das kostenfreie Angebot der SignPath Foundation, OSS-Projekte in einem sicheren Prozess zu signieren.

heise-devSec-Newsletter

Ihr möchtet über die heise devSec
auf dem Laufenden gehalten werden?

 

Anmelden